#CVE-2023-33009
#CVE-2023-33010
網路設備製造商兆勤科技Zyxel 警告客戶其數款防火牆和 VPN 產品中存在兩個嚴重漏洞,攻擊者無需身份驗證即可利用這些漏洞。
這兩個安全問題都是緩衝區溢出的漏洞,並可能允許在易受攻擊的設備上執行阻斷服務攻擊 (DoS) 和遠端程式碼。
“兆勤已經發布了針對受多個緩衝區溢出漏洞影響的防火牆的修補,”該供應商在一份安全公告中表示。“建議用戶安裝它們以獲得最佳保護,”該公司補充道。
緩衝區溢出問題允許內存操作,使攻擊者能夠在分配的部分之外寫入數據。它們通常會導致系統崩潰,但在某些情況下,成功利用可以允許在設備上執行代碼。
Zyxel 的最新修補解決了以下漏洞,以下是對這兩個漏洞的簡要說明:
CVE-2023-33009:通知功能中的緩衝區溢出漏洞可能使未經身份驗證的攻擊者能夠導致拒絕服務 (DoS) 條件和遠端程式碼執行(CVSS 分數為 9.8)
CVE-2023-33010:ID 處理函數中的緩衝區溢出漏洞,允許未經身份驗證的攻擊者執行遠端程式碼或導致拒絕服務 (DoS)(CVSS 分數為 9.8)
該公司表示,以下設備受到影響:
ATP(版本 ZLD V4.32 到 V5.36 Patch 1,在 ZLD V5.36 Patch 2中修補)
USG FLEX(版本 ZLD V4.50 到 V5.36 Patch 1,在 ZLD V5.36 Patch 2中修補)
USG FLEX50(W) / USG20(W)-VPN(版本 ZLD V4.25 到 V5.36 Patch 1,在 ZLD V5.36 Patch 2 中修補)
VPN(版本 ZLD V4.30 到 V5.36 Patch 1,在 ZLD V5.36 Patch 2中修補),以及
ZyWALL/USG(版本 ZLD V4.25 到 V4.73 Patch 1,在 ZLD V4.73 Patch 2 中修補)
供應商建議受影響產品的用戶盡快應用最新的安全更新,以消除駭客利用這兩個漏洞的風險。
中小型企業使用運行上述易受攻擊版本的設備來保護他們的網路,並允許遠端或在家辦公的員工進行安全網路訪問 (VPN)。攻擊者密切關注影響此類設備的任何重大漏洞,因為它們可以促進輕鬆存取公司網路。
上週,網路安全研究員Kevin Beaumont報告稱,4 月底,Zyxel 在其防火牆設備中修復了一個嚴重的 RCE 漏洞,跟踪為 CVE-2023-28771 (CVSS 分數為9.8),並敦促客戶安裝補丁。該公司還修復了影響某些特定防火牆版本的高嚴重性身份驗證後命令注入問題(CVE-2023-27991 ,CVSS 分數為8.8)。