СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Уязвимости
ФСТЭК России
10.12.2024

Уязвимость BDU:2025-00255

Уязвимость BDU:2025-00255

Идентификатор: BDU:2025-00255.

Наименование уязвимости: Уязвимость веб-интерфейса управления микропрограммного обеспечения сетевых устройств Zyxel, позволяющая нарушителю повысить свои привилегии.

Описание уязвимости: Уязвимость веб-интерфейса управления микропрограммного обеспечения сетевых устройств Zyxel связана с небезопасным управлением привилегиями. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии до уровня администратора и загружать конфигурационные файлы
Уязвимое ПО: Сетевое средство, ПО сетевого программно-аппаратного средства Zyxel Communications Corp. ZYXEL NWA1123ACv3 до 6.70(ABVT.4) включительно | Сетевое средство, ПО сетевого программно-аппаратного средства Zyxel Communications Corp. ZYXEL NWA50AX до 7.00(ABYW.2) включительно | Сетевое средство, ПО сетевого программно-аппаратного средства Zyxel Communications Corp. ZYXEL NWA50AX-PRO до 7.00(ACGE.2) включительно | Сетевое средство, ПО сетевого программно-аппаратного средства Zyxel Communications Corp. ZYXEL NWA55AXE до 7.00(ABZL.2) включительно | Сетевое средство, ПО сетевого программно-аппаратного средства Zyxel Communications Corp. ZYXEL NWA90AX до 7.00(ACCV.2) включительно | Сетевое средство, ПО сетевого программно-аппаратного средства Zyxel Communications Corp. ZYXEL NWA90AX-PRO до 7.00(ACGF.2) включительно | Сетевое средство, ПО сетевого программно-аппаратного средства Zyxel Communications Corp. ZYXEL NWA110AX до 7.00(ABTG.2) включительно | Сетевое средство, ПО сетевого программно-аппаратного средства, Микропрограммный код Zyxel Communications Corp. ZYXEL NWA130BE до 7.00(ACIL.3) включительно | Сетевое средство, ПО сетевого программно-аппаратного средства Zyxel Communications Corp. ZYXEL NWA210AX до 7.00(ABTD.2) включительно | Сетевое средство, ПО сетевого программно-аппаратного средства Zyxel Communications Corp. ZYXEL NWA220AX-6E до 7.00(ACCO.2) включительно | Сетевое средство, ПО сетевого программно-аппаратного средства Zyxel Communications Corp. ZYXEL WAC500 до 6.70(ABVS.5) включительно | Сетевое средство, ПО сетевого программно-аппаратного средства Zyxel Communications Corp. ZYXEL WAC500H до 6.70(ABWA.5) включительно | Сетевое средство, ПО сетевого программно-аппаратного средства Zyxel Communications Corp. ZYXEL WAX300H до 7.00(ACHF.2) включительно | Сетевое средство, ПО сетевого программно-аппаратного средства Zyxel Communications Corp. ZYXEL WAX510D до 7.00(ABTF.2) включительно | Сетевое средство, ПО сетевого программно-аппаратного средства Zyxel Communications Corp. ZYXEL WAX610D до 7.00(ABTE.2) включительно | Сетевое средство, ПО сетевого программно-аппаратного средства Zyxel Communications Corp. ZYXEL WAX620D-6E до 7.00(ACCN.2) включительно | Сетевое средство, ПО сетевого программно-аппаратного средства Zyxel Communications Corp. ZYXEL WAX630S до 7.00(ABZD.2) включительно | Сетевое средство, ПО сетевого программно-аппаратного средства Zyxel Communications Corp. ZYXEL WAX640S-6E до 7.00(ACCM.2) включительно | Сетевое средство, ПО сетевого программно-аппаратного средства Zyxel Communications Corp. ZYXEL WAX650S до 7.00(ABRM.2) включительно | Сетевое средство, ПО сетевого программно-аппаратного средства Zyxel Communications Corp. ZYXEL WAX655E до 7.00(ACDO.2) включительно | Сетевое средство, ПО сетевого программно-аппаратного средства, Микропрограммный код Zyxel Communications Corp. ZYXEL WBE530 до 7.00(ACLE.3) включительно | Сетевое средство, ПО сетевого программно-аппаратного средства Zyxel Communications Corp. ZYXEL WBE660S до 6.70(ACGG.2) включительно | Сетевое средство, ПО сетевого программно-аппаратного средства, Микропрограммный код Zyxel Communications Corp. USG LITE 60AX до 2.00(ACIP.4) включительно |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 10.12.2024.
CVSS 2.0: AV:N/AC:L/Au:S/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению:
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
— отключение/удаление неиспользуемых учётных записей пользователей;
— минимизация пользовательских привилегий;
— использование средств межсетевого экранирования уровня веб-приложений для ограничения удалённого доступа к веб-интерфейсу управления устройством;
— использование виртуальных частных сетей для организации удаленного доступа (VPN).

Использование рекомендаций производителя:
https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-improper-privilege-management-vulnerability-in-aps-and-security-router-devices-01-14-2025.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2024-12398.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://nvd.nist.gov/vuln/detail/CVE-2024-12398
https://vuldb.com/?id.291399
https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-improper-privilege-management-vulnerability-in-aps-and-security-router-devices-01-14-2025

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: