聚焦源代码安全,网罗国内外最新资讯!
这两个漏洞都是缓冲区溢出漏洞,可导致拒绝服务和远程代码执行后果。合勤科技指出,“合勤科技已发布补丁,修复受多个缓冲区溢出漏洞影响的固件。建议用户安装补丁进行防御。”
缓冲区溢出漏洞可导致内存操控后果,使攻击者在所分配部分之外写数据,一般会导致系统崩溃后果,但在一些情况下可导致代码执行后果。
合勤科技修复的漏洞包括:
(1)CVE-2023-33009:位于某些合勤产品通知功能中的缓冲区溢出漏洞,可导致未认证攻击者执行远程代码或者触发拒绝服务条件(严重程度评分9.8)。
(2)CVE-2023-33010:位于某些合勤产品ID处理功能中的缓冲区溢出漏洞,可导致未认证攻击者执行远程代码或者触发拒绝服务条件(严重性评分9.8)
该公司表示这些易受攻击的设备运行如下固件:
-
Zyxel ATP 固件版本ZLD V4.32 至 V5.36 Patch 1(已在ZLD V5.36 Patch 2中修复)
-
Zyxel USG FLEX 固件版本 ZLD V4.50 至 V5.36 Patch 1(已在ZLD V5.36 Patch 2中修复)
-
Zyxel USG FLEX50(W) / USG20(W)-VPN 固件版本 ZLD V4.25 至 V5.36 Patch 1 (已在ZLD V5.36 Patch 2中修复)
-
Zyxel VPN 固件版本 ZLD V4.30 至 V5.36 Patch 1(已在ZLD V5.36 Patch 2中修复)
-
Zyxel ZyWALL/USG 固件版本 ZLD V4.25 至V4.73 Patch 1(已在ZLD V4.73 Patch 2中修复)
合勤科技公司建议受影响用户尽快应用最新的安全更新,消除漏洞利用影响。运行以上易受攻击版本的设备用于中小企业,保护网络安全并使远程或在家办公用户使用安全的网络访问 (VPN)。威胁者密切关注这类设备中的严重漏洞,以便轻松访问企业网络。
上周,网络安全研究员 Kevin Beaumont 称,合勤科技4月份修复的一个命令注入漏洞已遭活跃利用,且它影响与受这两个漏洞影响的同样的防火墙和VPN产品。去年,CISA发布警报称,黑客正在利用合勤科技防火墙和VPN设备中的一个远程代码执行漏洞,督促系统管理员尽快应用固件补丁。
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):合勤科技防火墙和VPN设备中存在多个严重漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论