Zyxel資安公告:針對防火牆系統命令注入漏洞 (Command Injection)
CVE 編號: CVE-2022-30525
摘要
針對Rapid 7近期發現之防火牆系統命令注入漏洞,Zyxel已經發佈最新修補程式,建議用戶立即更新韌體,以獲得最佳保護。
事件說明
Zyxel發現有部份防火牆版本的 CGI 程式,存在命令注入漏洞,讓攻擊者能夠修改特定檔案,並在受影響的設備上執行系統命令。
受影響的版本及預防措施
經過詳細調查,我們已針對下列仍在保固及支援期內受影響的設備及韌體,發布了最新修補程式,以提供用戶最佳防護。
| 受影響的產品系列 | 受影響的韌體版本 | 修補程式版本 |
|---|---|---|
| USG FLEX 100(W), 200, 500, 700 | ZLD V5.00 至 ZLD V5.21 Patch 1 | ZLD V5.30 |
| USG FLEX 50(W) / USG20(W)-VPN | ZLD V5.10 至 ZLD V5.21 Patch 1 | ZLD V5.30 |
| ATP 系列 | ZLD V5.10 至 ZLD V5.21 Patch 1 | ZLD V5.30 |
| VPN 系列 | ZLD V4.60 至 ZLD V5.21 Patch 1 | ZLD V5.30 |
您的幫助對於遏制這種惡意行為至關重要,如果您對網路安全有任何問題或疑慮,請聯繫Zyxel經銷商、Zyxel技術團隊(0800-500-550),或至官方中文論壇,我們將為您提供進一步協助與説明。
特此感謝以下研究人員,主動向我們回報此問題:
感謝 Rapid7 向我們通報CVE-2022-30525 問題。但由於在與Rapid7披露協調的過程中對於揭露定義認知有所不同,Zyxel身為CNA成員,遵守規定並秉持誠信披露原則,主動向大眾媒體公開此項漏洞公告。
修訂記錄
2022-05-12:初始版本