شرکت زایکسل (.ZyXEL Communications Corp) اصلاحیههایی را برای ترمیم چهار ضعف امنیتی منتشر کرده است. این آسیبپذیریها محصولات فایروال، AP Controller و Access Point را تحت تاثیر قرار میدهد و مهاجم میتواند با سوءاستفاده از آنها به دلخواه خود، فرمانهای سیستمعامل را اجرا نماید و اطلاعات خاصی را سرقت کند.
فهرست آسیبپذیریهای ترمیم شده عبارتند از:
- CVE-2022-0734: یک آسیبپذیری از نوع «تزریق اسکریپت از طریق وب» (Cross-site Scripting – به اختصار XSS) است که برخی نسخههای فایروال از آن تاثیر میپذیرند و میتواند به منظور دسترسی به اطلاعات ذخیرهشده در مرورگر کاربر مورد سوءاستفاده قرار گیرد.
- CVE-2022-26531: چندین اشکال در اعتبارسنجی فرامین رابط خط فرمان (Command Line Interface – به اختصار CLI) در برخی از نسخههای فایروال، AP Controller و دستگاههای Access Point وجود دارد که مهاجم میتواند از آنها جهت ازکاراندازی سیستم سوءاستفاده کند.
- CVE-2022-26532: این آسیبپذیری از نوع «تزریق فرمان» (Command Injection) مربوط به فرمان «packet-trace» در CLI است و برخی از نسخههای فایروال، AP Controller و دستگاههای Access Point از آن تاثیر میپذیرند. سوءاستفاده از آن مهاجم را قادر به اجرای فرامین دلخواه سیستمعامل میکند.
- CVE-2022-0910: این ضعف امنیتی از نوع «دور زدن اعتبارسنجی» (Authentication Bypass) است که در برخی از نسخههای فایروال تأثیر میگذارد. سوءاستفاده از آن امکان انجام فعالیتهای غیرمجاز بدون اصالتسنجی را برای مهاجم فراهم میکند و از طریق یک کاربر IPsec VPN، اصالتسنجی دو مرحلهای را به اصالتسنجی یک مرحلهای تنزل میدهد.
با این که شرکت زایکسل در نشانی زیر، اصلاحیههای نرمافزاری را برای فایروالها و دستگاههای Access Point منتشر کرده است، ترمیم فوری ضعفهای امنیتی به شناسههای CVE-2022-26531 و CVE-2022-26532 در AP Controller تنها از طریق تماس با تیمهای پشتیبانی زایکسل قابل دریافت است.
https://www.zyxel.com/support/multiple-vulnerabilities-of-firewalls-AP-controllers-and-APs.shtml
اصلاحیههای این چهار ضعف امنیتی در زمانی منتشر میشوند که یک ضعف امنیتی قبلی با شناسه CVE-2022-30525 (درجه شدت 9.8 برطبق استاندارد CVSS) با درجه اهمیت «حیاتی» (Critical) و از نوع «تزریق فرمان» (Command Injection) در برخی نسخههای فایروال زایکسل، مورد بهرهجویی قرار گرفته است. به همین دلیل، آژانس دولتی «امنیت سایبری و امنیت زیرساخت» ایالات متحده (Cybersecurity and Infrastructure Security Agency – به اختصار CISA) ضمن انتشار هشداری آن را به فهرست آسیبپذیریهایی که مورد سوءاستفاده قرار گرفته، افزوده است و به مدیران فناوری اطلاعات توصیه نموده با مراجعه به نشانی زیر در اسرع وقت ثابتافزار خود را به ZLD V5.30 ارتقاء دهند.
منبع:
https://thehackernews.com/2022/05/zyxel-issues-patches-for-4-new-flaws.html