Zyxel 資安公告:防火牆身份驗證繞過漏洞

CVE編號: CVE-2022-0342

 

摘要

針對受身份驗證繞過漏洞影響的產品,Zyxel已經發佈最新修補程式,建議用戶立即更新韌體,以獲得最佳保護。

 

事件說明

Zyxel發現有部份防火牆版本的 CGI 程式,因缺少適當的訪問控制機制,存在身份驗證繞過漏洞。攻擊者很可能利用此漏洞繞過身份驗證,獲得登入權限。

 

受影響的版本及預防措施

經過詳細調查,我們已針對下列仍在保固及支援期內受影響的設備及韌體,發布了最新修補程式,以提供用戶最佳防護。

受影響的產品系列 受影響的韌體版本 修補程式版本
USG/ZyWALL 系列 ZLD V4.20 至 ZLD V4.70 ZLD V4.71
USG FLEX 系列 ZLD V4.50 至 ZLD V5.20 ZLD V5.21 Patch 1
ATP 系列 ZLD V4.32 至 ZLD V5.20 ZLD V5.21 Patch 1
VPN 系列 ZLD V4.30 至 ZLD V5.20 ZLD V5.21
NSG 系列 V1.20 至 V1.33 Patch 4
  • V1.33p4_WK11修補程式現已提供*
  • 標準修補程式 V1.33 Patch 5預計於2022年6月中釋出

*請聯繫負責的業務窗口,或向當地技術支援團隊索取詢問。

 

特此感謝以下研究人員,主動向我們回報此問題:

  • Alessandro Sgreccia from Tecnical Service Srl
  • Roberto Garcia H and Victor Garcia R from Innotec Security

您的幫助對於遏制這種惡意行為至關重要,如果您對網路安全有任何問題或疑慮,請聯繫Zyxel經銷商、Zyxel技術團隊(0800-500-550),或至官方中文論壇,我們將為您提供進一步協助與説明。

 

修訂記錄

2022-03-29: 初始版本
2022-05-27:NSG修補程式排程更新