兆勤科技發布防火牆-命令注入弱點(Command Injection)資安公告,請用戶立即更新

概要

針對Chaitin安全研究實驗室近期報告的一個命令行注入漏洞,Zyxel發佈更新公告。為獲得最佳防護,建議用戶立即進行更新。

 

漏洞說明

在部分Zyxel防火牆上的 "chg_exp_pwd "CGI程式中發現了一個命令行注入漏洞。如果CGI程式缺少輸入字符串清除機制,則攻擊者就可能以管理員身份登錄,並嘗試利用該漏洞的CGI更改密碼,從而注入非法命令。

 

受影響產品--你應該怎麼做?

在對產品線進行徹底清查後,我們已確認在保固和維修期內易受攻擊的產品,如下表所示,並已發佈新韌體以解決該問題。該漏洞只影響韌體版本為ZLD V4.30至V4.55的防火牆,ZLD V4.30之前或ZLD V4.55之後的韌體不受影響。
然而,為達到最佳防護,我們強烈建議用戶立即進行更新。

受影響產品 最新更新
VPN 系列
  • 本地:ZLD V4.39 week38*及更高版本
  • Orchestrator: SD-OS V10.03 week32*及更高版本
USG 系列 ZLD V4.39 week38*及更高版本
USG FLEX 系列 ZLD V4.55 week38*及更高版本
ATP 系列 ZLD V4.55 week38*及更高版本
NSG 系列 V1.33 patch 4**及更高版本
  1. *請聯繫您當地的Zyxel技術團隊以獲取hotfix檔。
  2. **韌體更新可在Nebula 雲網路控制中心(NCC)網站https://nebula.zyxel.com/.

如果您需要進一步的説明,請聯繫您所在的Zyxel技術團隊。

官網:https://www.zyxel.com/tw/zh/form/contact_us.shtml
客服電話0800-500-550

 

問題詢問或漏洞回報

為獲得進一步的資訊或説明,請與當地經銷商或服務代表聯繫。如果您發現了一個漏洞,我們希望與您合作修復它--請聯繫security@zyxel.com.tw,我們會立即回覆您。

 

鳴謝

感謝 Chaitin Security Research Lab 的 swing & leommxj 通報這個問題。

 

最新資訊公告時程:

2020-11-23: 公告發布