EXPLORE
EXPLORE

საზიზღარი Zyxel დისტანციური შესრულების შეცდომის ექსპლუატაცია ხდება

გასული კვირის ბოლოს Rapid7 გამჟღავნება საზიზღარი შეცდომა Zyxel-ის ფეიერვოლებში, რომელიც საშუალებას მისცემს არაავთენტიფიცირებულ დისტანციურ თავდამსხმელს შეასრულოს კოდი, როგორც არავის მომხმარებელი.

პროგრამირების პრობლემა არ იყო სანიტარული შეყვანა, ორი ველი გადაეცა CGI დამმუშავებელს, რომელიც მიეწოდება სისტემურ ზარებს. ზემოქმედების ქვეშ მოქცეული მოდელები იყო მისი VPN და ATP სერიები და USG 100(W), 200, 500, 700 და Flex 50(W)/USG20(W)-VPN.

იმ დროს Rapid7-მა თქვა, რომ ინტერნეტში 15,000 დაზარალებული მოდელი იყო, რომლებიც შოდანმა იპოვა. თუმცა, შაბათ-კვირას, Shadowserver Foundation-მა ეს რიცხვი 20,800-მდე გაზარდა.

”ყველაზე პოპულარულია USG20-VPN (10K IP) და USG20W-VPN (5.7K IP). CVE-2022-30525 დაზარალებული მოდელების უმეტესობა ევროკავშირშია - საფრანგეთში (4.5K) და იტალიაში (4.4K) tweeted.

ახლა პოპულარულია
Beelink GK Mini მიმოხილვა | PCMag

ფონდმა ასევე განაცხადა, რომ მან დაინახა, რომ ექსპლუატაცია დაიწყო 13 მაისს და მოუწოდა მომხმარებლებს დაუყოვნებლივ შეასწორონ.

მას შემდეგ, რაც Rapid7-მა გამოაცხადა დაუცველობის შესახებ 13 აპრილს, ტაივანის ტექნიკის მწარმოებელმა ჩუმად გამოუშვა პატჩები 28 აპრილს. Rapid7-მა გააცნობიერა, რომ გამოშვება მოხდა 9 მაისს და საბოლოოდ გამოაქვეყნა თავისი ბლოგი და Metasploit მოდული გვერდით. Zyxel შენიშვნადა არ იყო კმაყოფილი მოვლენების დროებით.

„ეს პაჩის გამოშვება დაუცველობის დეტალების გამოქვეყნების ტოლფასია, რადგან თავდამსხმელებს და მკვლევარებს შეუძლიათ ტრივიალურად შეცვალონ პატჩი, რათა ისწავლონ ზუსტი ექსპლუატაციის დეტალები, ხოლო დამცველები იშვიათად იტანჯებიან ამის გაკეთებაზე“, - წერს Rapid7-ის აღმომჩენი ჯეიკ ბეინსი.

”ამიტომ, ჩვენ ვაქვეყნებთ ამ ინფორმაციის ადრეულ ეტაპზე, რათა დავეხმაროთ დამცველებს ექსპლუატაციის გამოვლენაში და დავეხმაროთ მათ გადაწყვიტონ, როდის გამოიყენონ ეს შესწორება საკუთარ გარემოში, საკუთარი რისკის ტოლერანტობის შესაბამისად. სხვა სიტყვებით რომ ვთქვათ, დაუცველობის ჩუმი შესწორება მხოლოდ აქტიურ თავდამსხმელებს ეხმარება და დამცველებს სიბნელეში ტოვებს ახლად აღმოჩენილი საკითხების ჭეშმარიტი რისკის შესახებ.

თავის მხრივ, Zyxel-მა განაცხადა, რომ იყო „არასწორი კომუნიკაცია გამჟღავნების კოორდინაციის პროცესში“ და ის „ყოველთვის ემორჩილება კოორდინირებული გამჟღავნების პრინციპებს“.

მარტის ბოლოს, Zyxel-მა გამოაქვეყნა რჩევა CVSS 9.8 დაუცველობის შესახებ თავის CGI პროგრამაში, რომელიც საშუალებას მისცემს თავდამსხმელს გვერდის ავლით ავთენტიფიკაცია და იმუშაოს მოწყობილობის გარშემო ადმინისტრაციული წვდომით.

დაკავშირებული დაფარვა



წყარო

Keep Calm and Stay Smart

17:55

ჩვენი გუნდი ყოველწლიურად პროფესიონალურად ამოწმებს ასობით პროგრამულ უზრუნველყოფას, სერვისსა და ბიზნეს სტრატეგიას ჩვენი საკუთარი კონსულტანტებისა და ბიზნეს ლიდერების პანელის მეშვეობით.

ჩვენ ვირჩევთ მკაცრ გადაწყვეტილებებს მხოლოდ ხარჯ-სარგებლის მაღალი თანაფარდობით, რომლებიც ადვილად გამოსაყენებელია, რომლებიც ღირსეულად ინტეგრირდება ნებისმიერ ტიპის ორგანიზაციაში და შეიცავს წამყვან ფუნქციებს, რათა უზრუნველყოთ, რომ დარჩეთ თქვენი ბიზნეს სექტორის თავზე.

en English
ar Arabicbe Belarusianbn Bengalibs Bosnianbg Bulgarianzh-CN Chinese (Simplified)hr Croatiancs Czechda Danishnl Dutchen Englishet Estoniantl Filipinofi Finnishfr Frenchka Georgiande Germanel Greekgu Gujaratiha Hausaiw Hebrewhi Hindihmn Hmonghu Hungarianig Igboid Indonesianit Italianja Japanesejw Javanesekk Kazakhko Koreanku Kurdish (Kurmanji)ky Kyrgyzlo Laolv Latvianlt Lithuanianmk Macedonianmg Malagasyno Norwegianfa Persianpl Polishpt Portuguesepa Punjabiro Romanianru Russiansr Serbiansk Slovaksl Slovenianes Spanishsv Swedishth Thaitr Turkishuk Ukrainianvi Vietnameseyo Yoruba

აუცილებელი პროგრამული უზრუნველყოფა 2024 წელს

მოწინავე კატეგორიები

უახლესი მიმოხილვა