Zyxel資安公告：針對部份舊式防火牆之CRLF注入漏洞

摘要

Zyxel發現USG100、USG200、USG300、USG20W、USG20及USG50防火牆存在CRLF注入漏洞。由於受影響的型號皆為舊款機種目前已無支援韌體更新，建議用戶更換購買新一代產品，以獲得最佳保護。

事件說明

部份Zyxel舊式防火牆的CGI程式中，存在不適當輸入清理 (improper input sanitization)所造成的CRLF注入漏洞，讓攻擊者能夠執行如跨站腳本攻擊(cross-site scripting，XSS)，和快取緩存汙染(web cache poisoning)等惡意攻擊。

受影響的版本及預防措施

經過詳細調查，我們確定僅部份舊式防火牆受到此漏洞影響，包括USG20、USG20W、USG50、USG100、USG200和USG300，且都已於多年前即終止提供韌體更新。基於產品使用年限，Zyxel建議用戶即早汰舊換新至新一代防火牆，以獲得最佳保護。

您的幫助對於遏制這種惡意行為至關重要，如果您對網路安全有任何問題或疑慮，請聯繫Zyxel經銷商、Zyxel技術團隊（0800-500-550），或至我們的中文論壇，我們將會為您提供進一步協助與説明。

特此感謝CipherTechs公司的Darren & Pedro主動向我們回報此問題。

修訂記錄

2022-06-07：第一版