અન્વેષણ
અન્વેષણ

ખરાબ Zyxel રિમોટ એક્ઝેક્યુશન બગનો ઉપયોગ કરવામાં આવી રહ્યો છે

છેલ્લા સપ્તાહના અંતે, Rapid7 જાહેર Zyxel ફાયરવોલમાં એક ખરાબ બગ જે બિનઅધિકૃત રીમોટ હુમલાખોરને કોઈ પણ વપરાશકર્તા તરીકે કોડ ચલાવવા માટે પરવાનગી આપી શકે છે.

પ્રોગ્રામિંગ ઇશ્યુ સેનિટાઇઝિંગ ઇનપુટનો ન હતો, જેમાં બે ફીલ્ડ સીજીઆઇ હેન્ડલરને આપવામાં આવ્યા હતા જે સિસ્ટમ કૉલ્સમાં આપવામાં આવ્યા હતા. અસરગ્રસ્ત મોડલ તેની VPN અને ATP શ્રેણી અને USG 100(W), 200, 500, 700, અને Flex 50(W)/USG20(W)-VPN હતા.

તે સમયે, Rapid7એ જણાવ્યું હતું કે ઇન્ટરનેટ પર 15,000 અસરગ્રસ્ત મોડલ છે જે શોદાનને મળ્યા હતા. જો કે, સપ્તાહના અંતે, શેડોસર્વર ફાઉન્ડેશને તે સંખ્યા વધારીને 20,800થી વધુ કરી છે.

"સૌથી વધુ લોકપ્રિય છે USG20-VPN (10K IPs) અને USG20W-VPN (5.7K IPs). મોટાભાગના CVE-2022-30525 અસરગ્રસ્ત મોડેલો EU - ફ્રાન્સ (4.5K) અને ઇટાલી (4.4K) માં છે,"તે ટ્વિટ.

હવે લોકપ્રિય
Beelink GK Mini સમીક્ષા | પીસીમેગ

ફાઉન્ડેશને એમ પણ કહ્યું હતું કે તેણે 13 મેના રોજ શોષણ શરૂ કર્યું હતું અને વપરાશકર્તાઓને તાત્કાલિક પેચ કરવા વિનંતી કરી હતી.

Rapid7 એ 13 એપ્રિલના રોજ નબળાઈની જાણ કર્યા પછી, તાઈવાનની હાર્ડવેર નિર્માતાએ 28 એપ્રિલના રોજ શાંતિપૂર્વક પેચ બહાર પાડ્યા. Rapid7 ને માત્ર 9 મેના રોજ રીલીઝ થયું હોવાનું સમજાયું, અને આખરે તેનો બ્લોગ અને મેટાસ્પ્લોઈટ મોડ્યુલ પ્રકાશિત કર્યું. Zyxel નોટિસ, અને ઘટનાઓની સમયરેખાથી ખુશ ન હતા.

“આ પેચ રિલીઝ નબળાઈઓની વિગતો બહાર પાડવા સમાન છે, કારણ કે હુમલાખોરો અને સંશોધકો ચોક્કસ શોષણની વિગતો જાણવા માટે પેચને નજીવી રીતે ઉલટાવી શકે છે, જ્યારે બચાવકર્તાઓ ભાગ્યે જ આ કરવા માટે સંતાપ કરે છે,” બગના રેપિડ7 શોધકર્તા જેક બેન્સે લખ્યું.

“તેથી, શોષણ શોધવામાં ડિફેન્ડર્સને મદદ કરવા અને તેમની પોતાની જોખમ સહિષ્ણુતા અનુસાર, તેમના પોતાના વાતાવરણમાં આ ફિક્સ ક્યારે લાગુ કરવું તે નક્કી કરવામાં મદદ કરવા માટે અમે આ જાહેરાત વહેલી તકે જાહેર કરી રહ્યાં છીએ. બીજા શબ્દોમાં કહીએ તો, મૌન નબળાઈ પેચિંગ માત્ર સક્રિય હુમલાખોરોને મદદ કરે છે અને નવા શોધાયેલા મુદ્દાઓના સાચા જોખમ વિશે ડિફેન્ડર્સને અંધારામાં મૂકે છે.

તેના ભાગ માટે, Zyxel એ દાવો કર્યો હતો કે "જાહેરાત સંકલન પ્રક્રિયા દરમિયાન ગેરસંચાર થયો હતો" અને તે "હંમેશા સંકલિત જાહેરાતના સિદ્ધાંતોનું પાલન કરે છે".

માર્ચના અંતમાં, Zyxel એ તેના CGI પ્રોગ્રામમાં અન્ય CVSS 9.8 નબળાઈ માટે એક એડવાઈઝરી પ્રકાશિત કરી જે હુમલાખોરને પ્રમાણીકરણને બાયપાસ કરવા અને વહીવટી ઍક્સેસ સાથે ઉપકરણની આસપાસ ચલાવવાની મંજૂરી આપી શકે છે.

સંબંધિત કવરેજ



સોર્સ

Keep Calm and Stay Smart

17:55

અમારી ટીમ અમારા પોતાના સલાહકારો અને બિઝનેસ લીડર્સની પેનલ દ્વારા દર વર્ષે સેંકડો સોફ્ટવેર, સેવાઓ અને બિઝનેસ વ્યૂહરચનાઓનું વ્યાવસાયિક રીતે પરીક્ષણ કરે છે.

અમે ફક્ત ઉચ્ચતમ ખર્ચ-લાભ ગુણોત્તર સાથે સખત ઉકેલો પસંદ કરીએ છીએ જેઓ ઉપયોગમાં સરળ છે, જેઓ કોઈપણ પ્રકારની સંસ્થામાં યોગ્ય રીતે એકીકૃત થાય છે અને જે તમને તમારા વ્યવસાય ક્ષેત્રમાં ટોચ પર રહેવાની ખાતરી કરવા માટે અગ્રણી સુવિધાઓનો સમાવેશ કરે છે.

en English
ar Arabicbe Belarusianbn Bengalibs Bosnianbg Bulgarianzh-CN Chinese (Simplified)hr Croatiancs Czechda Danishnl Dutchen Englishet Estoniantl Filipinofi Finnishfr Frenchka Georgiande Germanel Greekgu Gujaratiha Hausaiw Hebrewhi Hindihmn Hmonghu Hungarianig Igboid Indonesianit Italianja Japanesejw Javanesekk Kazakhko Koreanku Kurdish (Kurmanji)ky Kyrgyzlo Laolv Latvianlt Lithuanianmk Macedonianmg Malagasyno Norwegianfa Persianpl Polishpt Portuguesepa Punjabiro Romanianru Russiansr Serbiansk Slovaksl Slovenianes Spanishsv Swedishth Thaitr Turkishuk Ukrainianvi Vietnameseyo Yoruba

2024 માં સોફ્ટવેર હોવું આવશ્યક છે

શીર્ષ કેટેગરીઝ

નવીનતમ સમીક્ષાઓ