兆勤科技交換器DoS安全漏洞公告

CVE 編號: CVE-2022-43393

摘要

Zyxel已為某些受到阻斷式服務(DoS)攻擊漏洞影響的交換器發佈修補公告。建議用戶安裝最新修補程式以獲得最佳保護。

什麼是安全漏洞攻擊?

某些Zyxel交換器版本的HTTP請求處理功能中,對異常或異常情況的不當檢查,可能允許攻擊者破壞內存記憶體,並導致受影響設備出現DoS狀況。

受影響的版本及預防措施?

經過詳細的檢查,我們已經確定仍在漏洞支援期間內的的漏洞產品,發布了修補程式來解決漏洞,如下表所示。

由於交換器大多部署在區域網路(LAN)環境中,因此透過防火牆或安全閘道能夠減少大多數潛在的DoS攻擊。此外,為了獲得最佳保護,我們建議用戶對遠端訪問其交換器需設置更嚴格的管理規則,例如透過限制HTTP或HTTPS請求遠端訪問設備管理介面或透過特定IP位址限制遠端訪問。

受影響型號 受影響版本 最新修補程式
GS1350-6HP V4.70(ABPI.4)C0 V4.70(ABPI.5)C0
GS1350-12HP V4.70(ABPJ.4)C0 V4.70(ABPJ.5)C0
GS1350-18HP V4.70(ABPK.4)C0 V4.70(ABPK.5)C0
GS1350-26HP V4.70(ABPL.4)C0 V4.70(ABPL.5)C0
GS1915-8 V4.70(ACAP.2)C0 V4.70(ACAP.3)C0
GS1915-8EP V4.70(ACAQ.2)C0 V4.70(ACAQ.3)C0
GS1915-24E V4.70(ACDR.2)C0 V4.70(ACDR.3)C0
GS1915-24EP V4.70(ACDS.2)C0 V4.70(ACDS.3)C0
GS1920-8HPv2 V4.70(ABKZ.7)C0 V4.70(ABKZ.8)C0
GS1920-24v2 V4.70(ABMH.7)C0 V4.70(ABMH.8)C0
GS1920-48v2 V4.70(ABMJ.7)C0 V4.70(ABMJ.8)C0
GS1920-24HPv2 V4.70(ABMI.7)C0 V4.70(ABMI.8)C0
GS1920-48HPv2 V4.70(ABMK.7)C0 V4.70(ABMK.8)C0
GS2220-10 V4.70(ABRO.5)C0 V4.70(ABRO.6)C0
GS2220-28 V4.70(ABRQ.5)C0 V4.70(ABRQ.6)C0
GS2220-50 V4.70(ABRS.5)C0 V4.70(ABRS.6)C0
GS2220-10HP V4.70(ABRP.5)C0 V4.70(ABRP.6)C0
GS2220-28HP V4.70(ABRR.5)C0 V4.70(ABRR.6)C0
GS2220-50HP V4.70(ABRT.5)C0 V4.70(ABRT.6)C0
XGS1930-28 V4.70(ABHT.3)C0 V4.70(ABHT.5)C0
XGS1930-28HP V4.70(ABHS.3)C0 V4.70(ABHS.5)C0
XGS1930-52 V4.70(ABHU.3)C0 V4.70(ABHU.5)C0
XGS1930-52HP V4.70(ABHV.3)C0 V4.70(ABHV.5)C0
XS1930-10 V4.70(ABQE.5)C0 V4.80(ABQE.0)C0
XS1930-12HP V4.70(ABQF.5)C0 V4.80(ABQF.0)C0
XS1930-12F V4.70(ABZV.5)C0 V4.80(ABZV.0)C0
XGS2210-28 V4.70(AAZJ.1)C0 V4.70(AAZJ.2)C0
XGS2210-52 V4.70(AAZK.1)C0 V4.70(AAZK.2)C0
XGS2210-28HP V4.70(AAZL.1)C0 V4.70(AAZL.2)C0
XGS2210-52HP V4.70(AAZM.1)C0 V4.70(AAZM.2)C0
XGS2220-30 V4.80(ABXN.0)C0 V4.80(ABXN.1)C0
XGS2220-30HP V4.80(ABXO.0)C0 V4.80(ABXO.1)C0
XGS2220-30F V4.80(ABYE.0)C0 V4.80(ABYE.1)C0
XGS2220-54 V4.80(ABXP.0)C0 V4.80(ABXP.1)C0
XGS2220-54HP V4.80(ABXQ.0)C0 V4.80(ABXQ.1)C0
XGS2220-54FP V4.80(ACCE.0)C0 V4.80(ACCE.1)C0
XGS4600-32 V4.70(ABBH.3)C0 V4.70(ABBH.4)C0
XGS4600-32F V4.70(ABBI.3)C0 V4.70(ABBI.4)C0
XGS4600-52F V4.70(ABIK.3)C0 V4.70(ABIK.4)C0
XMG1930-30 V4.70(ACAR.0) V4.80(ACAR.0)
XMG1930-30HP V4.70(ACAS.0) V4.80(ACAS.0)
XS3800-28 V4.80(ABML.0)C0 V4.80(ABML.1)C0
MGS3500-24S 4.10(ABBR.1)C0 4.10(ABBR.2)C0*
MGS3520-28 4.10(AATN.4)C0 4.10(AATN.5)C0*
MGS3520-28 4.10(ABQM.1)C0 4.10(ABQM.2)C0*
MGS3520-28F 4.10(AATM.3)C0 4.10(AATM.4)C0*
MGS3530-28 4.10(ACEM.1)C0 4.10(ACEM.2)C0*
MGS3530-28 4.10(ACFJ.0)C0 4.10(ACFJ.1)C0*

*請聯繫您當地的Zyxel支援團隊以獲取相關修補程式。

如何獲得協助?

如有任何問題,請聯繫Zyxel經銷商、Zyxel技術團隊(0800-500-550),或至官方Zyxel中文論壇,我們將會提供進一步協助與說明。

致謝

特別感謝Positive Technologies團隊的Nikita Abramov主動向我們回報此問題。

修訂記錄

2023-1-11: 初始版本