Zyxel warns of critical vulnerabilities in firewall and VPN devices
Zyxel เตือนลูกค้าถึงช่องโหว่ระดับ Critical 2 รายการในผลิตภัณฑ์ Firewall และ VPN หลายรายการที่ผู้โจมตีสามารถใช้ประโยชน์ได้โดยไม่ต้องตรวจสอบสิทธิ์ โดยช่องโหว่ทั้ง 2 รายการเกิดจาก buffer overflow และอาจทำให้ปฏิเสธการให้บริการ (DoS) และเรียกใช้โค้ดจากระยะไกลบนอุปกรณ์ที่มีช่องโหว่ ช่องโหว่ที่ได้รับการแพตช์ล่าสุดของ Zyxel มีดังต่อไปนี้ 1. CVE-2023-33009 (คะแนน CVSS 9.8) เป็นช่องโหว่ buffer overflow ในฟังก์ชันการแจ้งเตือนในผลิตภัณฑ์ Zyxel บางตัว ทำให้ผู้โจมตีที่ไม่ได้รับการตรวจสอบสิทธิ์สามารถเรียกใช้โค้ดจากระยะไกลหรือกำหนดเงื่อนไข DoS ได้ 2. CVE-2023-33010 (คะแนน CVSS 9.8) เป็นช่องโหว่ buffer overflow ในฟังก์ชันการประมวลผล ID ในผลิตภัณฑ์ Zyxel บางรายการ ทำให้ผู้โจมตีที่ไม่ได้รับการตรวจสอบสิทธิ์สามารถเรียกใช้โค้ดจากระยะไกลหรือกำหนดเงื่อนไข DoS ได้
อุปกรณ์ที่มีผลกระทบกับช่องโหว่กำลังใช้เฟิร์มแวร์ต่อไปนี้ - Zyxel ATP firmware versions ZLD V4.32 ถึง V5.36 Patch 1 (แก้ไขแล้วใน ZLD V5.36 Patch 2) - Zyxel USG FLEX firmware versions ZLD V4.50 ถึง V5.36 Patch 1 (แก้ไขแล้วใน ZLD V5.36 Patch 2) - Zyxel USG FLEX50(W) / USG20(W)-VPN firmware versions ZLD V4.25 ถึง V5.36 Patch 1 (แก้ไขแล้วใน ZLD V5.36 Patch 2) -Zyxel VPN firmware versions ZLD V4.30 ถึง V5.36 Patch 1 แก้ไขแล้วใน ZLD V5.36 Patch 2) - Zyxel ZyWALL/USG firmware versions ZLD V4.25 ถึง V4.73 Patch 1 (แก้ไขแล้วใน ZLD V4.73 Patch 2)
เมื่อสัปดาห์ที่แล้ว Kevin Beaumont นักวิจัยด้านความปลอดภัยทางไซเบอร์รายงานว่าช่องโหว่ command injection ที่ Zyxel แก้ไขในเดือนเมษายนนั้นถูกนำไปใช้อย่างแพร่หลายอีกครั้ง และส่งผลกระทบต่อไฟร์วอลล์และผลิตภัณฑ์ VPN เดียวกันกับครั้งนี้ Zyxel แนะนำให้ผู้ใช้ผลิตภัณฑ์ที่ได้รับผลกระทบใช้การอัปเดตแพตช์ด้านความปลอดภัยล่าสุดโดยเร็วที่สุดเพื่อลดความเสี่ยงที่แฮ็กเกอร์จะใช้ประโยชน์จากช่องโหว่ทั้งสอง
https://www.bleepingcomputer.com/news/security/zyxel-warns-of-critical-vulnerabilities-in-firewall-and-vpn-devices/