ГлавнаяБаза уязвимостей БДУ → BDU:2022-02929
10критическая

BDU:2022-02929

Уязвимость реализации HTTP-интерфейса администрирования межсетевых экранов Zyxell, позволяющая нарушителю выполнять произвольные команды
Опубликовано: 2022-05-17
Описание

Уязвимость реализации HTTP-интерфейса администрирования межсетевых экранов Zyxell связана с ошибками при обработке входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнять произвольные команды путем внедрения специально сформированного файла

Затрагиваемое ПО и версии
USG FLEX 100 (до 5.30)USG FLEX 100W (до 5.30)USG FLEX 200 (до 5.30)USG FLEX 500 (до 5.30)USG FLEX 700 (до 5.30)USG FLEX 50(W) (до 5.30)USG USG20(W)-VPN (до 5.30)ATP (до 5.30)VPN (до 5.30)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- отключение WAN-доступа к веб-интерфейсу администрирования;
- использование входных данных только из доверенных источников;
- ограничение доступа к определенному URI (/ztp/cgi-bin/handler).

Информация от производителя:
https://www.zyxel.com/support/Zyxel-security-advisory-for-OS-command-injection-vulnerability-of-firewalls.shtml

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://www.zyxel.com/support/Zyxel-security-advisory-for-OS-command-injection-vulnerability-of-firewalls.shtmlhttp://packetstormsecurity.com/files/167176/Zyxel-Remote-Command-Execution.htmlhttp://packetstormsecurity.com/files/167182/Zyxel-Firewall-ZTP-Unauthenticated-Command-Injection.htmlhttps://www.cisa.gov/sites/default/files/csv/known_exploited_vulnerabilities.csv
Проверьте безопасность своего сайта и почты → Полная проверка домена