風險等級:高度威脅
摘 要:弱點通告: Zyxel 發布多個產品的安全公告,建議請管理者儘速評估更新!
影響系統:
受影響廠牌如下:
ATP 版本 ZLD V4.32 到 V5.35
USG-FLEX 版本 ZLD V4.50 到 V5.35
USG FLEX 50(W)/USG20(W)-VPN 版本 ZLD V4.16到V5.35
VPN 版本 ZLD V4.30 到 V5.35
ZyWALL/USG 版本 ZLD V4.60 到 V4.73
解決辦法:建議受影響產品的用戶和系統管理員應用安全更新: (1) 請將 ATP、USG-FLEX、USG FLEX 50(W)、USG20(W)-VPN 和 VPN 升級到版本 ZLD V5 .36或以上 (2) 請升級ZyWALL/USG系列至ZLD V4.73 Patch 1或以上版本
細節描述:Zyxel (合勤) 近日發布更新,以解決多個產品的安全性弱點。
研究人員發現合勤防火牆存在2個高危漏洞。
CVE-2023-27991:某些防火牆版本的 CLI 指令中的身份驗證後,命令注入漏洞可能允許經過身份驗證的攻擊者遠程執行某些操作系統指令。
CVE-2023-28771:某些防火牆版本中錯誤消息處理不當,可能允許未經身份驗證的攻擊者向受影響的設備發送封包來遠程執行某些系統操作指令。
參考資訊:
TWNCERT
ZYXEL
NVD
thehackernews