Haavoittuvuus6/2023CVSS 9.8CVE-2023-33009, CVE-2023-33010 (Ulkoinen linkki)
Julkaistu
Zyxel on julkaissut korjauspäivitykset kahteen kriittiseen haavoittuvuuteen. Haavoittuvuudet koskevat useita Zyxelin palomuurituoteperheitä. Korjaavat päivitykset kannattaa asentaa haavoittuviin tuotteisiin mahdollisimman pian.
Muistin käsittelyyn liittyvillä haavoittuvuuksilla hyökkääjä voi aiheuttaa laitteille palveluestotilan tai ajaa haitallista koodia laitteilla. Kyberturvallisuuskeskukselle on tullut tietoon tapaus, jossa haavoittuvuutta on hyväksikäytetty Suomessa.
Kohde
- Verkon aktiivilaitteet
Hyökkäystapa
- Etäkäyttö
- Ilman käyttäjän toimia
- Ilman kirjautumista
Vaikutukset
- Palvelunestohyökkäys
- Komentojen mielivaltainen suorittaminen
- Tietojen muokkaaminen
- Luottamuksellisen tiedon hankkiminen
Hyväksikäyttömenetelmä tiedossa
- Rikollisessa käytössä
Ratkaisu
- Korjaava ohjelmistopäivitys
Haavoittuvuuden kohde
Haavoittuvat laitteet ja niiden ohjelmistot:
- ATP sarja: ZLD V4.32 - V5.36 Patch 1
- USG FLEX sarja: ZLD V4.50 - V5.36 Patch 1
- USG FLEX50(W) / USG20(W)-VPN: ZLD V4.25 - V5.36 Patch 1
- VPN sarja: ZLD V4.30 - V5.36 Patch 1
- ZyWALL/USG sarja: ZLD V4.25 - V4.73 Patch 1
Mistä on kysymys?
Päivitä laiteohjelma (firmware) versioon ZLD V5.36 Patch 2 ja ZyWALL/USG sarjan laittella versioon ZLD V4.73 Patch 2.