ਪੜਚੋਲ
ਪੜਚੋਲ

Nasty Zyxel ਰਿਮੋਟ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਬੱਗ ਦਾ ਸ਼ੋਸ਼ਣ ਕੀਤਾ ਜਾ ਰਿਹਾ ਹੈ

ਪਿਛਲੇ ਹਫ਼ਤੇ ਦੇ ਅੰਤ ਵਿੱਚ, ਰੈਪਿਡ 7 ਖੁਲਾਸਾ ਕੀਤਾ Zyxel ਫਾਇਰਵਾਲਾਂ ਵਿੱਚ ਇੱਕ ਖਰਾਬ ਬੱਗ ਜੋ ਇੱਕ ਅਣ-ਪ੍ਰਮਾਣਿਤ ਰਿਮੋਟ ਹਮਲਾਵਰ ਨੂੰ ਕੋਈ ਵੀ ਉਪਭੋਗਤਾ ਦੇ ਤੌਰ 'ਤੇ ਕੋਡ ਨੂੰ ਚਲਾਉਣ ਦੀ ਇਜਾਜ਼ਤ ਦੇ ਸਕਦਾ ਹੈ।

ਪ੍ਰੋਗਰਾਮਿੰਗ ਮਸਲਾ ਇਨਪੁਟ ਨੂੰ ਰੋਗਾਣੂ-ਮੁਕਤ ਨਹੀਂ ਕਰ ਰਿਹਾ ਸੀ, ਜਿਸ ਵਿੱਚ ਦੋ ਖੇਤਰ ਇੱਕ CGI ਹੈਂਡਲਰ ਨੂੰ ਸਿਸਟਮ ਕਾਲਾਂ ਵਿੱਚ ਫੀਡ ਕੀਤੇ ਜਾ ਰਹੇ ਸਨ। ਪ੍ਰਭਾਵਿਤ ਮਾਡਲ ਇਸਦੀ VPN ਅਤੇ ATP ਲੜੀ, ਅਤੇ USG 100(W), 200, 500, 700, ਅਤੇ Flex 50(W)/USG20(W)-VPN ਸਨ।

ਉਸ ਸਮੇਂ, ਰੈਪਿਡ7 ਨੇ ਕਿਹਾ ਕਿ ਇੰਟਰਨੈੱਟ 'ਤੇ 15,000 ਪ੍ਰਭਾਵਿਤ ਮਾਡਲ ਸਨ ਜੋ ਸ਼ੋਡਨ ਨੇ ਲੱਭੇ ਸਨ। ਹਾਲਾਂਕਿ, ਹਫਤੇ ਦੇ ਅੰਤ ਵਿੱਚ, ਸ਼ੈਡੋਸਰਵਰ ਫਾਊਂਡੇਸ਼ਨ ਨੇ ਇਸ ਸੰਖਿਆ ਨੂੰ 20,800 ਤੋਂ ਵੱਧ ਕਰ ਦਿੱਤਾ ਹੈ।

“ਸਭ ਤੋਂ ਵੱਧ ਪ੍ਰਸਿੱਧ ਹਨ USG20-VPN (10K IPs) ਅਤੇ USG20W-VPN (5.7K IPs)। ਜ਼ਿਆਦਾਤਰ CVE-2022-30525 ਪ੍ਰਭਾਵਿਤ ਮਾਡਲ EU - ਫਰਾਂਸ (4.5K) ਅਤੇ ਇਟਲੀ (4.4K) ਵਿੱਚ ਹਨ," ਇਹ ਟਵੀਟ ਕੀਤਾ.

ਹੁਣ ਪ੍ਰਸਿੱਧ
Beelink GK Mini Review | ਪੀਸੀਮੈਗ

ਫਾਊਂਡੇਸ਼ਨ ਨੇ ਇਹ ਵੀ ਕਿਹਾ ਕਿ ਉਸਨੇ 13 ਮਈ ਨੂੰ ਸ਼ੋਸ਼ਣ ਸ਼ੁਰੂ ਹੋਇਆ ਦੇਖਿਆ ਸੀ, ਅਤੇ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਤੁਰੰਤ ਪੈਚ ਕਰਨ ਦੀ ਅਪੀਲ ਕੀਤੀ ਸੀ।

ਰੈਪਿਡ7 ਨੇ 13 ਅਪ੍ਰੈਲ ਨੂੰ ਕਮਜ਼ੋਰੀ ਦੀ ਰਿਪੋਰਟ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਤਾਈਵਾਨੀ ਹਾਰਡਵੇਅਰ ਨਿਰਮਾਤਾ ਨੇ ਚੁੱਪਚਾਪ 28 ਅਪ੍ਰੈਲ ਨੂੰ ਪੈਚ ਜਾਰੀ ਕੀਤੇ। ਰੈਪਿਡ7 ਨੂੰ ਸਿਰਫ ਇਹ ਅਹਿਸਾਸ ਹੋਇਆ ਕਿ ਰੀਲੀਜ਼ 9 ਮਈ ਨੂੰ ਹੋਈ ਸੀ, ਅਤੇ ਆਖਰਕਾਰ ਇਸ ਦੇ ਬਲੌਗ ਅਤੇ ਮੇਟਾਸਪਲੋਇਟ ਮੋਡੀਊਲ ਨੂੰ ਪ੍ਰਕਾਸ਼ਿਤ ਕੀਤਾ। Zyxel ਨੋਟਿਸ, ਅਤੇ ਸਮਾਗਮਾਂ ਦੀ ਸਮਾਂਰੇਖਾ ਤੋਂ ਖੁਸ਼ ਨਹੀਂ ਸੀ।

"ਇਹ ਪੈਚ ਰੀਲੀਜ਼ ਕਮਜ਼ੋਰੀਆਂ ਦੇ ਵੇਰਵਿਆਂ ਨੂੰ ਜਾਰੀ ਕਰਨ ਦੇ ਬਰਾਬਰ ਹੈ, ਕਿਉਂਕਿ ਹਮਲਾਵਰ ਅਤੇ ਖੋਜਕਰਤਾ ਸਹੀ ਸ਼ੋਸ਼ਣ ਦੇ ਵੇਰਵੇ ਸਿੱਖਣ ਲਈ ਪੈਚ ਨੂੰ ਮਾਮੂਲੀ ਤੌਰ 'ਤੇ ਉਲਟਾ ਸਕਦੇ ਹਨ, ਜਦੋਂ ਕਿ ਬਚਾਅ ਕਰਨ ਵਾਲੇ ਸ਼ਾਇਦ ਹੀ ਅਜਿਹਾ ਕਰਨ ਦੀ ਖੇਚਲ ਕਰਦੇ ਹਨ," ਬੱਗ ਦੇ ਰੈਪਿਡ 7 ਖੋਜਕਰਤਾ ਜੈਕ ਬੇਨਸ ਨੇ ਲਿਖਿਆ।

“ਇਸ ਲਈ, ਅਸੀਂ ਸ਼ੋਸ਼ਣ ਦਾ ਪਤਾ ਲਗਾਉਣ ਵਿੱਚ ਬਚਾਅ ਕਰਨ ਵਾਲਿਆਂ ਦੀ ਮਦਦ ਕਰਨ ਲਈ ਅਤੇ ਉਹਨਾਂ ਦੀ ਆਪਣੀ ਜੋਖਮ ਸਹਿਣਸ਼ੀਲਤਾ ਦੇ ਅਨੁਸਾਰ, ਉਹਨਾਂ ਦੇ ਆਪਣੇ ਵਾਤਾਵਰਣ ਵਿੱਚ ਇਸ ਫਿਕਸ ਨੂੰ ਕਦੋਂ ਲਾਗੂ ਕਰਨਾ ਹੈ, ਇਹ ਫੈਸਲਾ ਕਰਨ ਵਿੱਚ ਉਹਨਾਂ ਦੀ ਮਦਦ ਕਰਨ ਲਈ ਇਸ ਖੁਲਾਸੇ ਨੂੰ ਜਲਦੀ ਜਾਰੀ ਕਰ ਰਹੇ ਹਾਂ। ਦੂਜੇ ਸ਼ਬਦਾਂ ਵਿੱਚ, ਸ਼ਾਂਤ ਕਮਜ਼ੋਰੀ ਪੈਚਿੰਗ ਸਿਰਫ ਸਰਗਰਮ ਹਮਲਾਵਰਾਂ ਦੀ ਮਦਦ ਕਰਦੀ ਹੈ, ਅਤੇ ਨਵੇਂ ਖੋਜੇ ਮੁੱਦਿਆਂ ਦੇ ਅਸਲ ਜੋਖਮ ਬਾਰੇ ਬਚਾਅ ਕਰਨ ਵਾਲਿਆਂ ਨੂੰ ਹਨੇਰੇ ਵਿੱਚ ਛੱਡਦੀ ਹੈ।

ਇਸਦੇ ਹਿੱਸੇ ਲਈ, ਜ਼ੈਕਸਲ ਨੇ ਦਾਅਵਾ ਕੀਤਾ ਕਿ "ਖੁਲਾਸਾ ਤਾਲਮੇਲ ਪ੍ਰਕਿਰਿਆ ਦੌਰਾਨ ਗਲਤ ਸੰਚਾਰ" ਹੋਇਆ ਸੀ ਅਤੇ ਇਹ "ਹਮੇਸ਼ਾ ਤਾਲਮੇਲ ਖੁਲਾਸੇ ਦੇ ਸਿਧਾਂਤਾਂ ਦੀ ਪਾਲਣਾ ਕਰਦਾ ਹੈ"।

ਮਾਰਚ ਦੇ ਅੰਤ ਵਿੱਚ, Zyxel ਨੇ ਆਪਣੇ CGI ਪ੍ਰੋਗਰਾਮ ਵਿੱਚ ਇੱਕ ਹੋਰ CVSS 9.8 ਕਮਜ਼ੋਰੀ ਲਈ ਇੱਕ ਸਲਾਹ ਪ੍ਰਕਾਸ਼ਿਤ ਕੀਤੀ ਜੋ ਇੱਕ ਹਮਲਾਵਰ ਨੂੰ ਪ੍ਰਮਾਣਿਕਤਾ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨ ਅਤੇ ਪ੍ਰਬੰਧਕੀ ਪਹੁੰਚ ਦੇ ਨਾਲ ਡਿਵਾਈਸ ਦੇ ਦੁਆਲੇ ਚਲਾਉਣ ਦੀ ਆਗਿਆ ਦੇ ਸਕਦੀ ਹੈ।

ਸੰਬੰਧਿਤ ਕਵਰੇਜ



ਸਰੋਤ

Keep Calm and Stay Smart

17:55

ਸਾਡੀ ਟੀਮ ਪੇਸ਼ੇਵਰ ਤੌਰ 'ਤੇ ਸਾਡੇ ਆਪਣੇ ਸਲਾਹਕਾਰਾਂ ਅਤੇ ਵਪਾਰਕ ਨੇਤਾਵਾਂ ਦੇ ਇੱਕ ਪੈਨਲ ਦੁਆਰਾ ਹਰ ਸਾਲ ਸੈਂਕੜੇ ਸੌਫਟਵੇਅਰ, ਸੇਵਾਵਾਂ ਅਤੇ ਵਪਾਰਕ ਰਣਨੀਤੀਆਂ ਦੀ ਜਾਂਚ ਕਰਦੀ ਹੈ।

ਅਸੀਂ ਸਿਰਫ਼ ਉੱਚਤਮ ਲਾਗਤ-ਲਾਭ ਅਨੁਪਾਤ ਦੇ ਨਾਲ ਸਖ਼ਤੀ ਨਾਲ ਹੱਲ ਚੁਣਦੇ ਹਾਂ ਜੋ ਵਰਤੋਂ ਵਿੱਚ ਆਸਾਨ ਹੁੰਦੇ ਹਨ, ਜੋ ਕਿਸੇ ਵੀ ਕਿਸਮ ਦੇ ਸੰਗਠਨ ਵਿੱਚ ਵਧੀਆ ਢੰਗ ਨਾਲ ਏਕੀਕ੍ਰਿਤ ਹੁੰਦੇ ਹਨ ਅਤੇ ਜਿਨ੍ਹਾਂ ਵਿੱਚ ਇਹ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਪ੍ਰਮੁੱਖ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਸ਼ਾਮਲ ਹੁੰਦੀਆਂ ਹਨ ਕਿ ਤੁਸੀਂ ਆਪਣੇ ਕਾਰੋਬਾਰੀ ਖੇਤਰ ਵਿੱਚ ਸਿਖਰ 'ਤੇ ਰਹੋ।

en English
ar Arabicbe Belarusianbn Bengalibs Bosnianbg Bulgarianzh-CN Chinese (Simplified)hr Croatiancs Czechda Danishnl Dutchen Englishet Estoniantl Filipinofi Finnishfr Frenchka Georgiande Germanel Greekgu Gujaratiha Hausaiw Hebrewhi Hindihmn Hmonghu Hungarianig Igboid Indonesianit Italianja Japanesejw Javanesekk Kazakhko Koreanku Kurdish (Kurmanji)ky Kyrgyzlo Laolv Latvianlt Lithuanianmk Macedonianmg Malagasyno Norwegianfa Persianpl Polishpt Portuguesepa Punjabiro Romanianru Russiansr Serbiansk Slovaksl Slovenianes Spanishsv Swedishth Thaitr Turkishuk Ukrainianvi Vietnameseyo Yoruba

2024 ਵਿੱਚ ਸਾਫਟਵੇਅਰ ਹੋਣਾ ਲਾਜ਼ਮੀ ਹੈ

ਪ੍ਰਮੁੱਖ ਸ਼੍ਰੇਣੀਆਂ

ਨਵੀਨਤਮ ਸਮੀਖਿਆ