Zyxel исправила критическую уязвимость во множестве своих продуктов

Уязвимость, позволяющую злоумышленникам получить контроль над сетевыми устройствами, исправила в своих продуктах тайваньская компания Zyxel Communications, 5 апреля сообщает американское издание об информационных технологиях ARS Technica.

Уязвимости присвоен код CVE-2022-0342 и рейтинг опасности 9,8 из 10 баллов. «Уязвимость позволяет злоумышленнику обойти аутентификацию и получить административный доступ к устройству», — сообщили в компании.

Проблема была выявлена в механизме контроля доступа веб-интерфейса CGI (оCommon Gateway Interface) уязвимых устройств. Zyxel приписала обнаружение уязвимости Алессандро Сгреччиа из компании Technical Service SrL, а также Роберто Гарсии и Виктору Гарсии из Innotec Security.

Сообщений об эксплуатации выявленной уязвимости специалисты пока не обнаружили. Однако похожие по природе и механизму эксплуатации проблемы были выявлены в продуктах других компаний. В частности, в продуктах Sophos Firewall и Trend Micro Apex Central. В этом случае уже выявлены атаки.

Исправление уязвимости доступно в версии встроенного программного обеспечения (прошивки) ZLD V4.71 для продуктов серий USG/ZyWALL, 5.21 с исправлением 1 для продуктов USG FLEX и ATP, 5.21 для VPN и предварительной версии прошивки 1.33p4_WK11 для шлюзов NSG.