ГлавнаяБаза уязвимостей БДУ → BDU:2023-04707
9высокая

BDU:2023-04707

Уязвимость функции протокола определения сетевого времени (NTP) коммутатора Zyxel NBG6604, позволяющая нарушителю выполнить команды операционной системы
Опубликовано: 2023-08-16
Описание

Уязвимость функции протокола определения сетевого времени (NTP) коммутатора Zyxel NBG6604 связана с возможностью внедрения команд. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить команды операционной системы путем отправки специально сформированного HTTP-запроса

Затрагиваемое ПО и версии
NBG6604 (до 1.01(ABIR.1)C0 включительно)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения доступа к устройству;
- использование виртуальных частных сетей для организации удаленного доступа (VPN);
- ограничение доступа к устройству из внешних сетей (Интернет).

Использование рекомендаций производителя:
https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-post-authentication-command-injection-in-ntp-feature-of-nbg6604-home-router

Оценка CVSS
Балл9 — высокая опасность
Источники и патчи
https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-post-authentication-command-injection-in-ntp-feature-of-nbg6604-home-router
Проверьте безопасность своего сайта и почты → Полная проверка домена