兆勤科技安全漏洞公告:防火牆中憑證保護不足產生的漏洞

CVE 編號: CVE-2024-9677
摘要

Zyxel已發布了更新檔,修復影響 USG FLEX H 系列防火牆的憑證保護不足產生的漏洞。建議用戶盡速安裝這些更新檔以獲得最佳保護。

安全漏洞產生哪些狀況?

USG FLEX H 系列防火牆的 CLI 命令存在憑證保護不足漏洞,可能使已驗證的本地攻擊者透過竊取登入管理員的身份驗證來獲得權限提升。請注意,此攻擊僅在管理員尚未登出時才有可能成功。

哪些版本可能受到攻擊,應該怎麼做?

經過全面調查,我們已經確認在此次安全漏洞易受攻擊的產品,並發布了更新檔來解決這些漏洞,如下表所示。


Firewall series Affected version Patch availability
USG FLEX H uOS V1.21 and earlier uOS V1.30
如何獲得協助?

如有任何問題,請聯繫Zyxel經銷商、Zyxel技術團隊(0800-500-550),或至官方Zyxel中文論壇,我們將會提供進一步協助與說明。

致謝

感謝 HackerHood 的 Alessandro Sgreccia 向我們回報此問題。

修訂記錄

2024-10-22:初始版本