तलाशेंगे
तलाशेंगे

ख़राब Zyxel रिमोट निष्पादन बग का फायदा उठाया जा रहा है

पिछले सप्ताह के अंत में, रैपिड7 उद्घाटित Zyxel फ़ायरवॉल में एक बुरा बग जो एक अप्रमाणित रिमोट हमलावर के लिए कोड को निष्पादित करने की अनुमति दे सकता है क्योंकि कोई भी उपयोगकर्ता नहीं है।

प्रोग्रामिंग समस्या इनपुट को स्वच्छ नहीं कर रही थी, जिसमें सीजीआई हैंडलर को दो फ़ील्ड सिस्टम कॉल में फीड किए जा रहे थे। प्रभावित मॉडल इसकी वीपीएन और एटीपी श्रृंखला और यूएसजी 100(डब्ल्यू), 200, 500, 700 और फ्लेक्स 50(डब्ल्यू)/यूएसजी20(डब्ल्यू)-वीपीएन थे।

उस समय, रैपिड 7 ने कहा कि इंटरनेट पर 15,000 प्रभावित मॉडल थे जो कि शोडन ने पाया था। हालाँकि, सप्ताहांत में, शैडोसर्वर फ़ाउंडेशन ने उस संख्या को 20,800 से अधिक बढ़ा दिया है।

सबसे लोकप्रिय USG20-VPN (10K IPs) और USG20W-VPN (5.7K IPs) हैं। सीवीई-2022-30525 से प्रभावित अधिकांश मॉडल ईयू-फ्रांस (4.5के) और इटली (4.4के) में हैं। ट्वीट किए.

अब लोकप्रिय
बीलिंक जीके मिनी समीक्षा | PCMag

फाउंडेशन ने यह भी कहा कि उसने 13 मई को शोषण को देखा था, और उपयोगकर्ताओं से तुरंत पैच करने का आग्रह किया।

रैपिड7 द्वारा 13 अप्रैल को भेद्यता की सूचना दिए जाने के बाद, ताइवान के हार्डवेयर निर्माता ने चुपचाप 28 अप्रैल को पैच जारी कर दिए। रैपिड7 को केवल यह एहसास हुआ कि रिलीज 9 मई को हुई थी, और अंततः अपने ब्लॉग और मेटास्प्लोइट मॉड्यूल को इसके साथ प्रकाशित किया। ज़ीक्सेल नोटिस, और घटनाओं की समयरेखा से खुश नहीं थे।

"यह पैच रिलीज कमजोरियों के विवरण को जारी करने के समान है, क्योंकि हमलावर और शोधकर्ता सटीक शोषण विवरण जानने के लिए पैच को उल्टा कर सकते हैं, जबकि रक्षक शायद ही कभी ऐसा करने की जहमत उठाते हैं," बग के रैपिड 7 खोजकर्ता जेक बैनेस ने लिखा है।

"इसलिए, हम इस प्रकटीकरण को जल्द ही जारी कर रहे हैं ताकि रक्षकों को शोषण का पता लगाने में मदद मिल सके और उन्हें यह तय करने में मदद मिल सके कि अपने स्वयं के जोखिम सहनशीलता के अनुसार अपने स्वयं के वातावरण में इस फिक्स को कब लागू करना है। दूसरे शब्दों में, मूक भेद्यता पैचिंग केवल सक्रिय हमलावरों की मदद करती है, और नए खोजे गए मुद्दों के वास्तविक जोखिम के बारे में अंधेरे में रक्षकों को छोड़ देती है।

अपने हिस्से के लिए, ज़ीक्सेल ने दावा किया कि "प्रकटीकरण समन्वय प्रक्रिया के दौरान गलत संचार" था और यह "हमेशा समन्वित प्रकटीकरण के सिद्धांतों का पालन करता है"।

मार्च के अंत में, Zyxel ने अपने CGI कार्यक्रम में एक और CVSS 9.8 भेद्यता के लिए एक सलाह प्रकाशित की, जो एक हमलावर को प्रमाणीकरण को बायपास करने और प्रशासनिक पहुंच के साथ डिवाइस के चारों ओर चलाने की अनुमति दे सकती है।

संबंधित कवरेज



स्रोत

Keep Calm and Stay Smart

17:55

हमारी टीम पेशेवर रूप से अपने स्वयं के सलाहकारों और व्यापारिक नेताओं के एक पैनल के माध्यम से हर साल सैकड़ों सॉफ्टवेयर, सेवाओं और व्यावसायिक रणनीतियों का परीक्षण करती है।

हम केवल उच्चतम लागत-लाभ अनुपात के साथ कठोर समाधान चुनते हैं जो उपयोग में आसान होते हैं, जो किसी भी प्रकार के संगठन में शालीनता से एकीकृत होते हैं और जिनमें प्रमुख विशेषताएं शामिल होती हैं ताकि आप अपने व्यावसायिक क्षेत्र में शीर्ष पर बने रहें।

en English
ar Arabicbe Belarusianbn Bengalibs Bosnianbg Bulgarianzh-CN Chinese (Simplified)hr Croatiancs Czechda Danishnl Dutchen Englishet Estoniantl Filipinofi Finnishfr Frenchka Georgiande Germanel Greekgu Gujaratiha Hausaiw Hebrewhi Hindihmn Hmonghu Hungarianig Igboid Indonesianit Italianja Japanesejw Javanesekk Kazakhko Koreanku Kurdish (Kurmanji)ky Kyrgyzlo Laolv Latvianlt Lithuanianmk Macedonianmg Malagasyno Norwegianfa Persianpl Polishpt Portuguesepa Punjabiro Romanianru Russiansr Serbiansk Slovaksl Slovenianes Spanishsv Swedishth Thaitr Turkishuk Ukrainianvi Vietnameseyo Yoruba

2024 में सॉफ्टवेयर होना चाहिए

शीर्ष श्रेणियां

नवीनतम समीक्षा