Zyxel, iş yönlendiricilerinin birden fazla modelini etkileyen kritik bir güvenlik açığını ele almak için güvenlik güncellemeleri yayınladı ve potansiyel olarak kimlik doğrulanmamış saldırganların işletim sistemi komut enjeksiyonu yapmasına izin verdi.
CVE-2024-7261 olarak izlenen ve 9.8 ("kritik") CVSS V3 puanı atanan kusur, kullanıcı tarafından sağlanan verilerin uygunsuz ele alınmasının neden olduğu bir giriş doğrulama hatasıdır ve uzak saldırganların ana bilgisayar işleminde keyfi komutlar yürütmesine izin verir sistem.
"Bazı AP ve güvenlik yönlendirici sürümlerinin CGI programındaki" ana bilgisayar "parametresindeki özel öğelerin uygunsuz nötrleştirilmesi, savunmasız bir cihaza hazırlanmış bir çerez göndererek OS komutlarını yürütmesine izin verebilir."
CVE-2024-7261'den etkilenen zyxel erişim noktaları (APS) şunlardır:
Zyxel, güvenlik yönlendiricisi USG Lite 60AX çalıştıran v20ax (ACIP.2) de etkilendiğini, ancak bu modelin CVE-2024-7261 için yamayı uygulayan bulut tarafından V2.00 (ACIP.3) ile otomatik olarak güncellendiğini söylüyor.
Zyxel ayrıca APT ve USG Flex Güvenlik Duvarlarında birden fazla yüksek şiddetli kusur için güvenlik güncellemeleri yayınladı. Bir özet aşağıda bulunabilir:
Yukarıdakilerin en ilginç olanı, IPSEC VPN özelliğinde kimlik doğrulaması olmadan uzaktan sömürülebilen bir komut enjeksiyon güvenlik açığı olan CVE-2024-42057 (CVSS V3: 8.1, "yüksek").
Cihazı, kullanıcı tabanlı-PSK kimlik doğrulama modunda yapılandırma ve 28 karakter uzunluğunda bir kullanıcı adına sahip bir kullanıcıya sahip olmak da dahil olmak üzere, sömürü için gereken belirli yapılandırma gereksinimleri ile azaltılır.
Etkilenen güvenlik duvarları hakkında daha fazla bilgi için Zyxel'in danışmanlığına buradan göz atın.
D-Link, DIR-846W yönlendiricilerinde dört RCE kusurunu düzeltmediğini söylüyor
Cisco, hayatın sonunda kritik RCE sıfır günlerini uyarıyor IP telefonları
Cisa, devs'i işletim sistemi komut enjeksiyon güvenlik açıklarını ayıklamaya çağırıyor
Cisco, kamudan istismar kodu ile kök artış güvenlik açığını düzeltir
Google Backports Pixel EOP kusurunu diğer Android cihazlara düzeltme
Kaynak: Bleeping Computer