Zyxel-მა ცოტა ხნის წინ აღმოაჩინა ორი კრიტიკული დაუცველობა მის ზოგიერთ ქსელურ მოწყობილობაში და მოუწოდა მომხმარებლებს დაუყოვნებლივ გამოიყენონ პატჩი.
ორივე დაუცველობა არის ბუფერული გადადინება, რომელიც იძლევა სერვისზე უარის თქმის (DoS) შეტევებს, ასევე კოდის დისტანციური შესრულებას (RCE) და ორივე ნაპოვნი იქნა Zyxel-ის ზოგიერთ Firewall-სა და VPN პროდუქტში და აქვს 9.8 სიმძიმის ქულა (კრიტიკული). ). ახლა მათ თვალყურს ადევნებთ როგორც CVE-2023-33009 და CVE-2023-33010.
„Zyxel-მა გამოუშვა პატჩები ბუფერის გადინების მრავალჯერადი დაუცველობით დაზარალებული ფაირვოლებისთვის“, - ნათქვამია კომპანიის უსაფრთხოების კონსულტაციაში. "მომხმარებლებს ურჩევენ დააინსტალირონ ისინი ოპტიმალური დაცვისთვის."
დაზარალდა მრავალი მოწყობილობა
იმის შესამოწმებლად, არის თუ არა თქვენი ბოლო წერტილები დაუცველი, შეამოწმეთ, იკვებება თუ არა ისინი ამ პროგრამული უზრუნველყოფის საშუალებით:
Zyxel ATP firmware ვერსიები ZLD V4.32 to V5.36 Patch 1 (დაფიქსირებულია ZLD V5.36 Patch 2-ში)
Zyxel USG FLEX firmware ვერსიები ZLD V4.50 to V5.36 Patch 1 (დასწორებულია ZLD V5.36 Patch 2-ში)
Zyxel USG FLEX50(W) / USG20(W)-VPN firmware ვერსიები ZLD V4.25 to V5.36 Patch 1 (დაფიქსირებული ZLD V5.36 Patch 2)
Zyxel VPN firmware ვერსიები ZLD V4.30-დან V5.36 Patch 1-მდე (დაფიქსირებულია ZLD V5.36 Patch 2-ში)
Zyxel ZyWALL/USG firmware ვერსიები ZLD V4.25 to V4.73 Patch 1 (დაფიქსირებულია ZLD V4.73 Patch 2-ში)
მიუხედავად იმისა, რომ გამყიდველები, როგორც წესი, სწრაფად გამოსცემენ პატჩებს მაღალი სიმძიმის ხარვეზებისთვის, ორგანიზაციები არც ისე გულმოდგინედ იყენებენ მათ, რისკავს მონაცემთა დარღვევებს და ზოგიერთ შემთხვევაში გამოსასყიდ პროგრამასაც კი.
მცირე და საშუალო ბიზნესი შეიძლება იყოს განსაკუთრებით რისკის ქვეშ, რადგან ეს არის ტიპიური სამიზნე ბაზრები დაზარალებული პროდუქტებისთვის, რომლებიც გამოიყენება მათი ქსელების დასაცავად და უსაფრთხო წვდომის დასაშვებად დისტანციური მუშაკებისა და სახლის ოფისის თანამშრომლებისთვის.
როგორ გამოუშვა Zyxel-მა პატჩი, საფრთხის მოქმედი პირები მონიტორინგს გაუწევენ ღია ინტერნეტს ბოლო წერტილების დაუცველ ვერსიებზე და დაეძებენ ღილაკს ექსპლუატაციისთვის.
ვია BleepingComputer