Kritiska ievainojamība Zyxel iekārtās
Atklāta kritiska komandu injekcijas (command injection) ievainojamība CVE-2024-7261 vairākās ražotāja Zyxel AP (access point) un Security router iekārtās. Ievainojamībai piešķirts kritisks CVSS vērtējums 9.8.
Datu apstrādes nepilnības “host” parametram CGI (Common Gateway Interface) programmā sniedz iespēju neautentificētam uzbrucējam patvaļīgi izpildīt operētājsistēmas komandas, izmantojot īpaši sagatavotu sīkdatni. Šāda uzbrukuma rezultātā iespējams attālināti iegūt piekļuvi iekārtai vai manipulēt ar sistēmas failiem un resursiem, kā arī veikt citas darbības, kas var apdraudēt ierīces drošību.
Ietekmētie Zyxel produkti un programmnodrošinājuma versijas:
| Produkts | Modelis | Ietekmētā versija | Atjauninājums |
|---|---|---|---|
| Access Point | NWA50AX | 7.00(ABYW.1) un zemāk | 7.00(ABYW.2) |
| NWA50AX PRO | 7.00(ACGE.1) un zemāk | 7.00(ACGE.2) | |
| NWA55AXE | 7.00(ABZL.1) un zemāk | 7.00(ABZL.2) | |
| NWA90AX | 7.00(ACCV.1) un zemāk | 7.00(ACCV.2) | |
| NWA90AX PRO | 7.00(ACGF.1) un zemāk | 7.00(ACGF.2) | |
| NWA110AX | 7.00(ABTG.1) un zemāk | 7.00(ABTG.2) | |
| NWA130BE | 7.00(ACIL.1) un zemāk | 7.00(ACIL.2) | |
| NWA210AX | 7.00(ABTD.1) un zemāk | 7.00(ABTD.2) | |
| NWA220AX-6E | 7.00(ACCO.1) un zemāk | 7.00(ACCO.2) | |
| NWA1123-AC PRO | 6.28(ABHD.0) un zemāk | 6.28(ABHD.3) | |
| NWA1123ACv3 | 6.70(ABVT.4) un zemāk | 6.70(ABVT.5) | |
| WAC500 | 6.70(ABVS.4) un zemāk | 6.70(ABVS.5) | |
| WAC500H | 6.70(ABWA.4) un zemāk | 6.70(ABWA.5) | |
| WAC6103D-I | 6.28(AAXH.0) un zemāk | 6.28(AAXH.3) | |
| WAC6502D-S | 6.28(AASE.0) un zemāk | 6.28(AASE.3) | |
| WAC6503D-S | 6.28(AASF.0) un zemāk | 6.28(AASF.3) | |
| WAC6552D-S | 6.28(ABIO.0) un zemāk | 6.28(ABIO.3) | |
| WAC6553D-E | 6.28(AASG.2) un zemāk | 6.28(AASG.3) | |
| WAX300H | 7.00(ACHF.1) un zemāk | 7.00(ACHF.2) | |
| WAX510D | 7.00(ABTF.1) un zemāk | 7.00(ABTF.2) | |
| WAX610D | 7.00(ABTE.1) un zemāk | 7.00(ABTE.2) | |
| WAX620D-6E | 7.00(ACCN.1) un zemāk | 7.00(ACCN.2) | |
| WAX630S | 7.00(ABZD.1) un zemāk | 7.00(ABZD.2) | |
| WAX640S-6E | 7.00(ACCM.1) un zemāk | 7.00(ACCM.2) | |
| WAX650S | 7.00(ABRM.1) un zemāk | 7.00(ABRM.2) | |
| WAX655E | 7.00(ACDO.1) un zemāk | 7.00(ACDO.2) | |
| WBE530 | 7.00(ACLE.1) un zemāk | 7.00(ACLE.2) | |
| WBE660S | 7.00(ACGG.1) un zemāk | 7.00(ACGG.2) | |
| Security router | USG LITE 60AX | V2.00(ACIP.2) | V2.00(ACIP.3) |
Ieteikumi
CERT.LV aicina pēc iespējas ātrāk atjaunot ietekmētās Zyxel iekārtas uz jaunāko programmnodrošinājuma versiju.
Ražotāja publicētā informācija un atjauninājumi:
https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-os-command-injection-vulnerability-in-aps-and-security-router-devices-09-03-2024
