Cảnh báo lỗ hổng chèn lệnh trong tưởng lửa Zyxel 

Zyxel vừa phát hành các bản vá để giải quyết một lỗ hổng chèn lệnh hệ điều hành nghiêm trọng. 

Được theo dõi là CVE-2023-28771 (điểm CVSS: 9,8), đây là lỗ hổng chèn lệnh hệ điều hành (OS) trong một số phiên bản của tường lửa Zyxel.  

Lỗ hổng bắt nguồn từ việc xử lý thông báo lỗi không đúng cách, nếu bị khai thác, có thể cho phép kẻ tấn công không được xác thực thực thi từ xa các lệnh của hệ điều hành trên thiết bị bị ảnh hưởng. Kẻ tấn công có thể đạt được điều này bằng cách gửi các gói tin đặc biệt đến thiết bị dễ bị tấn công, có khả năng dẫn đến truy cập trái phép hoặc kiểm soát mạng. 

Các thiết bị bị ảnh hưởng gồm: 

  • Dòng ATP phiên bản ZLD V4.60 đến V5.35, đã có bản vá ZLD V5.36. 
  • Dòng USG FLEX phiên bản ZLD V4.60 đến V5.35, đã có bản vá ZLD V5.36. 
  • Dòng VPN phiên bản ZLD V4.60 đến V5.35, đã có bản vá ZLD V5.36. 
  • Dòng ZyWALL/USG phiên bản ZLD V4.60 đến V4.73, đã có bản vá ZLD V4.73 1. 

Để đảm bảo an toàn, Zyxel kêu gọi người dùng cài đặt các bản vá ngay lập tức để đảm bảo an toàn. 

Nguồn: Securityonline.info