Zyxel, Güvenlik Duvarı ve VPN Ürünleri İçin Kritik Güvenlik Yamaları Yayınladı

25 Mayıs 2023Ravie LakshmananAğ Güvenliği / Güvenlik Açığı

Zyxel, belirli güvenlik duvarı ve VPN ürünlerini etkileyen ve uzaktaki saldırganlar tarafından kod yürütme elde etmek için kötüye kullanılabilecek iki kritik güvenlik açığını gidermek için yazılım güncellemeleri yayınladı.

Her iki kusur da – CVE-2023-33009 ve CVE-2023-33010 – arabellek taşması güvenlik açıklarıdır ve CVSS puanlama sisteminde 10 üzerinden 9,8 olarak derecelendirilmiştir.

İki sorunun kısa bir açıklaması aşağıdadır –

• CVE-2023-33009 – Bildirim işlevinde, kimliği doğrulanmamış bir saldırganın hizmet reddi (DoS) durumuna ve uzaktan kod yürütülmesine neden olabilecek bir arabellek taşması güvenlik açığı.
• CVE-2023-33010 – Kimlik işleme işlevinde, kimliği doğrulanmamış bir saldırganın hizmet reddi (DoS) durumuna ve uzaktan kod yürütülmesine neden olabilecek bir arabellek taşması güvenlik açığı.

Aşağıdaki cihazlar etkilenir –

• ATP (ZLD V4.32’den V5.36 Yama 1’e kadar olan sürümler, ZLD V5.36 Yama 2’de yamalı)
• USG FLEX (ZLD V4.50 – V5.36 Yama 1 sürümleri, ZLD V5.36 Yama 2’de yamalı)
• USG FLEX50(W) / USG20(W)-VPN (ZLD V4.25 – V5.36 Yama 1 sürümleri, ZLD V5.36 Yama 2’de yamalı)
• VPN (ZLD V4.30 ila V5.36 Yama 1 sürümleri, ZLD V5.36 Yama 2’de yamalı) ve
• ZyWALL/USG (ZLD V4.25 – V4.73 Yama 1 sürümleri, ZLD V4.73 Yama 2’de yamalı)

TRAPA Security ve STAR Labs SG’den güvenlik araştırmacıları, kusurları keşfetme ve bildirme konusunda itibar kazandı.

Danışma belgesi, Zyxel’in güvenlik duvarı cihazlarında etkilenen sistemlerde uzaktan kod yürütülmesini sağlamak için istismar edilebilecek başka bir kritik güvenlik açığı için düzeltmeler göndermesinden bir aydan kısa bir süre sonra geldi.

CVE-2023-28771 (CVSS puanı: 9.8) olarak izlenen sorun, aynı zamanda TRAPA Security’ye de atfedildi ve ağ ekipmanı üreticisi, sorunu uygunsuz hata mesajı işlemekten sorumlu tuttu. O zamandan beri Mirai botnet ile bağlantılı tehdit aktörleri tarafından aktif olarak sömürülüyor.