合勤科技防火墙和VPN设备中存在多个严重漏洞

admin 2023年5月29日13:46:03评论43 views字数 1442阅读4分48秒阅读模式

合勤科技防火墙和VPN设备中存在多个严重漏洞 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士



合勤科技公司提醒用户称,多款防火墙和VPN产品中存在两个严重漏洞,攻击者无需认证即可利用。



这两个漏洞都是缓冲区溢出漏洞,可导致拒绝服务和远程代码执行后果。合勤科技指出,“合勤科技已发布补丁,修复受多个缓冲区溢出漏洞影响的固件。建议用户安装补丁进行防御。”

缓冲区溢出漏洞可导致内存操控后果,使攻击者在所分配部分之外写数据,一般会导致系统崩溃后果,但在一些情况下可导致代码执行后果。

合勤科技修复的漏洞包括:

(1)CVE-2023-33009:位于某些合勤产品通知功能中的缓冲区溢出漏洞,可导致未认证攻击者执行远程代码或者触发拒绝服务条件(严重程度评分9.8)。

(2)CVE-2023-33010:位于某些合勤产品ID处理功能中的缓冲区溢出漏洞,可导致未认证攻击者执行远程代码或者触发拒绝服务条件(严重性评分9.8)

该公司表示这些易受攻击的设备运行如下固件:

  • Zyxel ATP 固件版本ZLD V4.32 至 V5.36 Patch 1(已在ZLD V5.36 Patch 2中修复)

  • Zyxel USG FLEX 固件版本 ZLD V4.50 至 V5.36 Patch 1(已在ZLD V5.36 Patch 2中修复)

  • Zyxel USG FLEX50(W) / USG20(W)-VPN 固件版本 ZLD V4.25 至 V5.36 Patch 1 (已在ZLD V5.36 Patch 2中修复)

  • Zyxel VPN 固件版本 ZLD V4.30 至 V5.36 Patch 1(已在ZLD V5.36 Patch 2中修复)

  • Zyxel ZyWALL/USG 固件版本 ZLD V4.25 至V4.73 Patch 1(已在ZLD V4.73 Patch 2中修复)

合勤科技公司建议受影响用户尽快应用最新的安全更新,消除漏洞利用影响。运行以上易受攻击版本的设备用于中小企业,保护网络安全并使远程或在家办公用户使用安全的网络访问 (VPN)。威胁者密切关注这类设备中的严重漏洞,以便轻松访问企业网络。

上周,网络安全研究员 Kevin Beaumont 称,合勤科技4月份修复的一个命令注入漏洞已遭活跃利用,且它影响与受这两个漏洞影响的同样的防火墙和VPN产品。去年,CISA发布警报称,黑客正在利用合勤科技防火墙和VPN设备中的一个远程代码执行漏洞,督促系统管理员尽快应用固件补丁。



代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com









推荐阅读

奇安信入选全球《软件成分分析全景图》代表厂商

刚刚,合勤科技发布NAS新固件,修复严重的RCE漏洞

合勤科技修复四个高危漏洞,影响AP、API控制器和防火墙设备

合勤科技称企业防火墙和VPN设备遭复杂攻击

10万+合勤科技防火墙和 VPN 网关被曝秘密后门



原文链接
https://www.bleepingcomputer.com/news/security/zyxel-warns-of-critical-vulnerabilities-in-firewall-and-vpn-devices/

题图:Pexels License


本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




合勤科技防火墙和VPN设备中存在多个严重漏洞
合勤科技防火墙和VPN设备中存在多个严重漏洞

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   合勤科技防火墙和VPN设备中存在多个严重漏洞 觉得不错,就点个 “在看” 或 "” 吧~

原文始发于微信公众号(代码卫士):合勤科技防火墙和VPN设备中存在多个严重漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年5月29日13:46:03
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   合勤科技防火墙和VPN设备中存在多个严重漏洞http://cn-sec.com/archives/1766025.html

发表评论

匿名网友 填写信息