Zyxel Erişim Noktaları ve Yönlendiricilerdeki Kritik İşletim Sistemi Komut Enjeksiyonu Açığını Düzeltiyor


04 Eyl 2024Ravie LakshmananGüvenlik Açığı / Ağ Güvenliği

Zyxel, yetkisiz komutların yürütülmesine yol açabilen belirli erişim noktası (AP) ve güvenlik yönlendirici sürümlerini etkileyen kritik bir güvenlik açığını gidermek için yazılım güncellemeleri yayınladı.

CVE-2024-7261 (CVSS puanı: 9,8) olarak izlenen güvenlik açığı, bir işletim sistemi (OS) komut enjeksiyonu vakası olarak tanımlandı.

Zyxel, yayınladığı bir duyuruda, “Bazı AP ve güvenlik yönlendirici sürümlerinin CGI programındaki ‘host’ parametresindeki özel unsurların uygunsuz şekilde etkisiz hale getirilmesi, kimliği doğrulanmamış bir saldırganın, savunmasız bir cihaza hazırlanmış bir çerez göndererek işletim sistemi komutlarını yürütmesine olanak tanıyabilir” dedi.

Siber Güvenlik

Hatayı keşfeden ve bildiren kişi Fuzhou Üniversitesi ROIS ekibinden Chengchao Ai olarak biliniyor.

Zyxel ayrıca yönlendiricilerinde ve güvenlik duvarlarında bulunan ve işletim sistemi komut yürütme, hizmet reddi (DoS) veya tarayıcı tabanlı bilgilere erişimle sonuçlanabilecek, ciddiyeti yüksek birkaç tanesi de dahil olmak üzere yedi güvenlik açığı için güncellemeler yayınladı.

  • CVE-2024-5412 (CVSS puanı: 7,5) – “libclinkc” kitaplığındaki, kimliği doğrulanmamış bir saldırganın özel olarak hazırlanmış bir HTTP isteği yoluyla DoS koşullarına neden olmasına olanak tanıyan bir arabellek taşması güvenlik açığı
  • CVE-2024-6343 (CVSS puanı: 4,9) – Yönetici ayrıcalıklarına sahip kimliği doğrulanmış bir saldırganın özel olarak hazırlanmış bir HTTP isteği aracılığıyla DoS koşullarını tetiklemesine olanak sağlayabilecek bir arabellek taşması güvenlik açığı
  • CVE-2024-7203 (CVSS puanı: 7,2) – Yönetici ayrıcalıklarına sahip kimliği doğrulanmış bir saldırganın işletim sistemi komutlarını yürütmesine olanak sağlayabilecek bir kimlik doğrulama sonrası komut enjeksiyonu güvenlik açığı
  • CVE-2024-42057 (CVSS puanı: 8.1) – Kimliği doğrulanmamış bir saldırganın bazı işletim sistemi komutlarını yürütmesine olanak sağlayabilecek IPSec VPN özelliğindeki bir komut enjeksiyonu güvenlik açığı
  • CVE-2024-42058 (CVSS puanı: 7,5) – Kimliği doğrulanmamış bir saldırganın hazırlanmış paketler göndererek DoS koşullarına neden olmasına olanak sağlayabilecek bir boş işaretçi başvuru güvenlik açığı
  • CVE-2024-42059 (CVSS puanı: 7,2) – Yönetici ayrıcalıklarına sahip kimliği doğrulanmış bir saldırganın, FTP aracılığıyla hazırlanmış sıkıştırılmış bir dil dosyasını yükleyerek bazı işletim sistemi komutlarını yürütmesine olanak sağlayabilecek bir kimlik doğrulama sonrası komut enjeksiyonu güvenlik açığı
  • CVE-2024-42060 (CVSS puanı: 7.2) – Bazı güvenlik duvarı sürümlerinde kimlik doğrulama sonrası komut enjeksiyonu güvenlik açığı, yönetici ayrıcalıklarına sahip kimliği doğrulanmış bir saldırganın bazı işletim sistemi komutlarını yürütmesine olanak tanıyabilir
  • CVE-2024-42061 (CVSS puanı: 6.1) – “dynamic_script.cgi” adlı CGI programında yansıtılan bir çapraz site betikleme (XSS) güvenlik açığı, bir saldırganın bir kullanıcıyı XSS ​​yüküyle hazırlanmış bir URL’yi ziyaret etmeye kandırmasına ve tarayıcı tabanlı bilgiler elde etmesine olanak tanıyabilir

D-Link’in, DIR-846 yönlendiricisini etkileyen dört güvenlik açığını, bunlardan iki kritik uzaktan komut yürütme açığını (CVE-2024-44342, CVSS puanı: 9,8) ürünlerin Şubat 2020’de kullanım ömrünün sonuna (EoL) ulaşması nedeniyle düzeltmeyeceğini açıklamasının ardından gelen gelişme, müşterileri bunları desteklenen sürümlerle değiştirmeye çağırdı.

Bu makaleyi ilginç buldunuz mu? Bizi takip edin Twitter ve daha özel içeriklerimizi okumak için LinkedIn’i ziyaret edin.





Source link