Sårbarhed i Zyxel firewall

Af Eskil Sørensen, 01/05/23

Zyxel Firewall-enheder er sårbare over for fjernafvikling af kode.

Producenten af netværksudstyr Zyxel har udgivet patches til en kritisk sikkerhedsfejl i sine firewall-enheder. Fejlen er kritisk, da den kan udnyttes til at opnå fjernafvikling af kode på berørte systemer. Dvs. en remote code execution-sårbarhed.

Det skriver The Hacker News m.fl.

Sårbarheden har id’et CVE-2023-28771 og er blevet vurderet til 9,8 på CVSS-scoringssystemet. Zyxel skriver i forbindelse med udsendelse af opdateringerne, at sårbarheden skyldes en ukorrekt håndtering af fejlmeddelelser i nogle firewallversioner. Det kan give en uautoriseret hacker mulighed for at afvikle OS-kommandoer eksternt ved at sende udformede pakker til en berørt enhed

Produkter berørt af fejlen er:

ATP (versioner ZLD V4.60 til V5.35, patchet i ZLD V5.36)
USG FLEX (versioner ZLD V4.60 til V5.35, patchet i ZLD V5.36)
VPN (versioner ZLD V4.60 til V5.35, patchet i ZLD V5.36), og
ZyWALL/USG (versioner ZLD V4.60 til V4.73, patchet i ZLD V4.73 Patch 1)

Zyxel har også rettet en ’post-authentication command injection’-sårbarhed. Denne påvirker udvalgte firewallversioner (CVE-2023-27991, CVSS-score: 8,8) og gør det muligt for en godkendt angriber at udføre nogle OS-kommandoer eksternt. Denne sårbarhed påvirker ATP, USG FLEX, USG FLEX 50(W) / USG20(W)-VPN og VPN-enheder.

Derudover er der også udsendt rettelser til fem alvorlige og mellemalvorlige mellemsvær fejl, der påvirker adskillige firewalls og adgangspunkter (AP)-enheder, som kunne resultere i kodeafvikling og forårsage en denial-of-service (DoS)-tilstand. Disse har id’erne fra fra CVE-2023-22913 til CVE-2023-22918.