Zyxel資安公告:針對部份舊式防火牆之CRLF注入漏洞
摘要
Zyxel發現USG100、USG200、USG300、USG20W、USG20及USG50防火牆存在CRLF注入漏洞。由於受影響的型號皆為舊款機種目前已無支援韌體更新,建議用戶更換購買新一代產品,以獲得最佳保護。
事件說明
部份Zyxel舊式防火牆的CGI程式中,存在不適當輸入清理 (improper input sanitization)所造成的CRLF注入漏洞,讓攻擊者能夠執行如跨站腳本攻擊(cross-site scripting,XSS),和快取緩存汙染(web cache poisoning)等惡意攻擊。
受影響的版本及預防措施
經過詳細調查,我們確定僅部份舊式防火牆受到此漏洞影響,包括USG20、USG20W、USG50、USG100、USG200和USG300,且都已於多年前即終止提供韌體更新。基於產品使用年限,Zyxel建議用戶即早汰舊換新至新一代防火牆,以獲得最佳保護。
您的幫助對於遏制這種惡意行為至關重要,如果您對網路安全有任何問題或疑慮,請聯繫Zyxel經銷商、Zyxel技術團隊(0800-500-550),或至我們的中文論壇,我們將會為您提供進一步協助與説明。
特此感謝CipherTechs公司的Darren & Pedro主動向我們回報此問題。
修訂記錄
2022-06-07:第一版