Zyxel資安公告:針對防火牆系統命令注入漏洞 (Command Injection)

CVE 編號: CVE-2022-30525

 

摘要

針對Rapid 7近期發現之防火牆系統命令注入漏洞,Zyxel已經發佈最新修補程式,建議用戶立即更新韌體,以獲得最佳保護。

 

事件說明

Zyxel發現有部份防火牆版本的 CGI 程式,存在命令注入漏洞,讓攻擊者能夠修改特定檔案,並在受影響的設備上執行系統命令。

 

受影響的版本及預防措施

經過詳細調查,我們已針對下列仍在保固及支援期內受影響的設備及韌體,發布了最新修補程式,以提供用戶最佳防護。

受影響的產品系列 受影響的韌體版本 修補程式版本
USG FLEX 100(W), 200, 500, 700 ZLD V5.00 至 ZLD V5.21 Patch 1 ZLD V5.30
USG FLEX 50(W) / USG20(W)-VPN ZLD V5.10 至 ZLD V5.21 Patch 1 ZLD V5.30
ATP 系列 ZLD V5.10 至 ZLD V5.21 Patch 1 ZLD V5.30
VPN 系列 ZLD V4.60 至 ZLD V5.21 Patch 1 ZLD V5.30
 

您的幫助對於遏制這種惡意行為至關重要,如果您對網路安全有任何問題或疑慮,請聯繫Zyxel經銷商、Zyxel技術團隊(0800-500-550),或至官方中文論壇,我們將為您提供進一步協助與説明。

 

特此感謝以下研究人員,主動向我們回報此問題:

感謝 Rapid7 向我們通報CVE-2022-30525 問題。但由於在與Rapid7披露協調的過程中對於揭露定義認知有所不同,Zyxel身為CNA成員,遵守規定並秉持誠信披露原則,主動向大眾媒體公開此項漏洞公告。

 

修訂記錄

2022-05-12:初始版本