Zyxel warns of critical vulnerabilities in firewall and VPN devices

Zyxel は、同社のファイアウォールおよび VPN 製品のいくつかに、攻撃者が認証なしで悪用する可能性がある 2 つの重大度の脆弱性があることを顧客に警告しています。

どちらのセキュリティ問題もバッファ オーバーフローであり、脆弱なデバイス上でサービス拒否 (DoS) やリモート コード実行が発生する可能性があります。

「Zyxel は、複数のバッファ オーバーフローの脆弱性の影響を受けるファイアウォール用のパッチをリリースしました」とベンダーはセキュリティ アドバイザリーで述べています。 「最適な保護を実現するために、ユーザーはこれらをインストールすることをお勧めします」と同社は付け加えた。

バッファ オーバーフローの問題によりメモリ操作が可能になり、攻撃者が割り当てられたセクションを超えてデータを書き込むことが可能になります。通常、これらはシステムのクラッシュにつながりますが、場合によっては悪用に成功するとデバイス上でコードが実行される可能性があります。

Zyxel の最新パッチは次の問題に対処しています。

  1. CVE-2023-33009 : 一部の Zyxel 製品の通知機能にバッファ オーバーフローの脆弱性があり、認証されていない攻撃者がリモートでコードを実行したり、DoS 条件を課したりする可能性があります。 (重大度スコア 9.8)
  2. CVE-2023-33010 : 一部の Zyxel 製品の ID 処理機能にバッファ オーバーフローの脆弱性があり、認証されていない攻撃者がリモートでコードを実行したり、DoS 条件を課したりする可能性があります。 (重大度スコア 9.8)

同社によると、脆弱なデバイスは次のファームウェアを実行しているという。

  • Zyxel ATP ファームウェア バージョン ZLD V4.32 ~ V5.36 Patch 1 (ZLD V5.36 Patch 2 で修正)
  • Zyxel USG FLEX ファームウェア バージョン ZLD V4.50 ~ V5.36 Patch 1 (ZLD V5.36 Patch 2 で修正)
  • Zyxel USG FLEX50(W) / USG20(W)-VPN ファームウェア バージョン ZLD V4.25 ~ V5.36 Patch 1 (ZLD V5.36 Patch 2 で修正)
  • Zyxel VPN ファームウェア バージョン ZLD V4.30 ~ V5.36 Patch 1 (ZLD V5.36 Patch 2 で修正)
  • Zyxel ZyWALL/USG ファームウェア バージョン ZLD V4.25 ~ V4.73 Patch 1 (ZLD V4.73 Patch 2 で修正)

ベンダーは、影響を受ける製品のユーザーに対し、ハッカーがこれら 2 つの欠陥を悪用するリスクを排除するために、最新のセキュリティ アップデートをできるだけ早く適用することを推奨しています。

上記の脆弱なバージョンを実行しているデバイスは、ネットワークを保護し、リモートまたは在宅の従業員に安全なネットワーク アクセス (VPN) を許可するために中小企業で使用されています。

脅威アクターは、企業ネットワークへの簡単なアクセスを容易にする可能性があるため、このようなデバイスに影響を与える重大な欠陥を注意深く監視しています。

先週、サイバーセキュリティ研究者のKevin Beaumont氏は、Zyxelが4月に修正したコマンドインジェクションの欠陥が積極的に悪用されており、今回と同じファイアウォールやVPN製品に影響を与えていると報告した。

昨年、 CISA は、Zyxel ファイアウォールと VPN デバイスのリモート コード実行の欠陥を利用するハッカーに関する警告を発表し、システム管理者にできるだけ早くファームウェア パッチを適用するよう促しました。