Kritiska sårbarheter i Zyxel-produkter
Sårbarhet
Zyxel varnar för två kritiska sårbarheter i brandväggar.[1]
Sårbarheterna har fått beteckningarna CVE-2023-33009 och CVE-2023-33010, och båda fått CVSS-klassningen 9.8. Det rör sig om två olika sårbarheter som kan göra det möjligt för en oautentiserad användare att göra påverkade enheter otillgängliga eller fjärrköra kod på enheterna. De beror på att det är möjligt att överfylla två olika buffertar (buffer overflow) i vissa versioner av brandväggar. [1,2,3]
Påverkade produkter
Följande brandväggar är påverkade:
ATP, version ZLD V4.32 to V5.36 Patch 1
USG FLEX, version ZLD V4.50 to V5.36 Patch 1
USG FLEX50(W) / USG20(W)-VPN, version ZLD V4.25 to V5.36 Patch 1
VPN, version ZLD V4.30 to V5.36 Patch 1
ZyWALL/USG, version ZLD V4.25 to V4.73 Patch 1
Rekommendationer
CERT-SE rekommenderar att uppdatera sårbara produkter så snart det är möjligt.