Zyxel 資安公告:防火牆身份驗證繞過漏洞
CVE編號: CVE-2022-0342
摘要
針對受身份驗證繞過漏洞影響的產品,Zyxel已經發佈最新修補程式,建議用戶立即更新韌體,以獲得最佳保護。
事件說明
Zyxel發現有部份防火牆版本的 CGI 程式,因缺少適當的訪問控制機制,存在身份驗證繞過漏洞。攻擊者很可能利用此漏洞繞過身份驗證,獲得登入權限。
受影響的版本及預防措施
經過詳細調查,我們已針對下列仍在保固及支援期內受影響的設備及韌體,發布了最新修補程式,以提供用戶最佳防護。
| 受影響的產品系列 | 受影響的韌體版本 | 修補程式版本 |
|---|---|---|
| USG/ZyWALL 系列 | ZLD V4.20 至 ZLD V4.70 | ZLD V4.71 |
| USG FLEX 系列 | ZLD V4.50 至 ZLD V5.20 | ZLD V5.21 Patch 1 |
| ATP 系列 | ZLD V4.32 至 ZLD V5.20 | ZLD V5.21 Patch 1 |
| VPN 系列 | ZLD V4.30 至 ZLD V5.20 | ZLD V5.21 |
| NSG 系列 | V1.20 至 V1.33 Patch 4 |
|
*請聯繫負責的業務窗口,或向當地技術支援團隊索取詢問。
特此感謝以下研究人員,主動向我們回報此問題:
- Alessandro Sgreccia from Tecnical Service Srl
- Roberto Garcia H and Victor Garcia R from Innotec Security
您的幫助對於遏制這種惡意行為至關重要,如果您對網路安全有任何問題或疑慮,請聯繫Zyxel經銷商、Zyxel技術團隊(0800-500-550),或至官方中文論壇,我們將為您提供進一步協助與説明。
修訂記錄
2022-03-29: 初始版本
2022-05-27:NSG修補程式排程更新