Уязвимость BDU:2022-04431

Дата: 24.05.2022. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2022-04431.

Наименование уязвимости: Уязвимость реализации интерфейса командной строки (CLI) микропрограммного обеспечения сетевых устройств Zyxel, позволяющая нарушителю выполнить произвольные команды.

Описание уязвимости: Уязвимость реализации интерфейса командной строки (CLI) микропрограммного обеспечения сетевых устройств Zyxel связана с непринятием мер по нейтрализации специальных элементов используемых в команде ОС. Эксплуатация уязвимости может позволить нарушителю выполнить произвольные команды
Уязвимое ПО: Микропрограммный код Zyxel Communications Corp. NXC2500 до 6.10(AAIG.3) включительно | Микропрограммный код Zyxel Communications Corp. NXC5500 до 6.10(AAOS.3) включительно | ПО сетевого программно-аппаратного средства Zyxel Communications Corp. NAP203 до 6.25(ABFA.8) | ПО сетевого программно-аппаратного средства Zyxel Communications Corp. NAP303 до 6.25(ABEX.8) | ПО сетевого программно-аппаратного средства Zyxel Communications Corp. NAP353 до 6.25(ABEY.8) | ПО сетевого программно-аппаратного средства Zyxel Communications Corp. NSG до 1.33 Patch 5 | ПО сетевого программно-аппаратного средства Zyxel Communications Corp. USG до ZLD 4.72 | ПО сетевого программно-аппаратного средства Zyxel Communications Corp. ZyWALL до ZLD 4.72 | ПО сетевого программно-аппаратного средства Zyxel Communications Corp. USG FLEX до ZLD 5.30 | ПО сетевого программно-аппаратного средства Zyxel Communications Corp. ATP до ZLD 5.30 | Микропрограммный код Zyxel Communications Corp. VPN до ZLD 5.30 | Сетевое средство, ПО сетевого программно-аппаратного средства Zyxel Communications Corp. ZYXEL NWA50AX до 6.25(ABYW.8) | Сетевое средство, ПО сетевого программно-аппаратного средства Zyxel Communications Corp. ZYXEL NWA55AXE до 6.25(ABZL.8) | Сетевое средство, ПО сетевого программно-аппаратного средства Zyxel Communications Corp. ZYXEL NWA90AX до 6.27(ACCV.3) | Сетевое средство, ПО сетевого программно-аппаратного средства Zyxel Communications Corp. ZYXEL NWA110AX до 6.30(ABTG.3) | Сетевое средство, ПО сетевого программно-аппаратного средства Zyxel Communications Corp. ZYXEL NWA210AX до 6.30(ABTD.3) | ПО сетевого программно-аппаратного средства Zyxel Communications Corp. NWA1123-AC HD до 6.25(ABIN.8) | ПО сетевого программно-аппаратного средства Zyxel Communications Corp. NWA1123-AC PRO до 6.25(ABHD.8) | Сетевое средство, ПО сетевого программно-аппаратного средства Zyxel Communications Corp. ZYXEL NWA1123ACv3 до 6.30(ABVT.3) | ПО сетевого программно-аппаратного средства Zyxel Communications Corp. NWA1302-AC до 6.25(ABKU.8) | ПО сетевого программно-аппаратного средства Zyxel Communications Corp. NWA5123-AC HD до 6.25(ABIM.8) | Сетевое средство, ПО сетевого программно-аппаратного средства Zyxel Communications Corp. ZYXEL WAC500H до 6.30(ABWA.3) | Сетевое средство, ПО сетевого программно-аппаратного средства Zyxel Communications Corp. ZYXEL WAC500 до 6.30(ABVS.3) | Микропрограммный код Zyxel Communications Corp. WAC5302D-S до 6.10(ABFH.10) включительно | Сетевое средство, ПО сетевого программно-аппаратного средства Zyxel Communications Corp. ZYXEL WAC5302D-Sv2 до 6.25(ABVZ.8) | Микропрограммный код Zyxel Communications Corp. WAC6103D-I до 6.25(AAXH.8) | Микропрограммный код Zyxel Communications Corp. WAC6303D-S до 6.25(ABGL.8) | Микропрограммный код Zyxel Communications Corp. WAC6502D-E до 6.25(AASD.8) | Микропрограммный код Zyxel Communications Corp. WAC6502D-S до 6.25(AASE.8) | Микропрограммный код Zyxel Communications Corp. WAC6503D-S до 6.25(AASF.8) | Микропрограммный код Zyxel Communications Corp. WAC6553D-E до 6.25(AASG.8) | Микропрограммный код Zyxel Communications Corp. WAC6552D-S до 6.25(ABIO.8) | Сетевое средство, ПО сетевого программно-аппаратного средства Zyxel Communications Corp. ZYXEL WAX510D до 6.30(ABTF.3) | Сетевое средство, ПО сетевого программно-аппаратного средства Zyxel Communications Corp. ZYXEL WAX610D до 6.30(ABTE.3) | Сетевое средство, ПО сетевого программно-аппаратного средства Zyxel Communications Corp. ZYXEL WAX630S до 6.30(ABZD.3) | Сетевое средство, ПО сетевого программно-аппаратного средства Zyxel Communications Corp. ZYXEL WAX650S до 6.30(ABRM.3) |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 24.05.2022.
CVSS 2.0: AV:L/AC:L/Au:S/C:C/I:C/A:C
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)

Возможные меры по устранению:
Использование рекомендаций:
https://www.zyxel.com/support/multiple-vulnerabilities-of-firewalls-AP-controllers-and-APs.shtml
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-26532.
Прочая информация: Полный перечень версий микропрограммного обеспечения сетевых устройств ZyXEL USG, ZyXEL USG VPN, ZyWALL и ZyWALL VPN представлен на сайте производителя.
Тип ошибки CWE: CWE-78, CWE-88
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://channel4it.com/editorials/zyxel-predupredila-o-mnozhestvennyh-uyazvimostyah-v-svoih-produktah.html
https://www.securitylab.ru/news/531919.php
https://www.zyxel.com/support/multiple-vulnerabilities-of-firewalls-AP-controllers-and-APs.shtml
https://nvd.nist.gov/vuln/detail/CVE-2022-26532
http://packetstormsecurity.com/files/167464/Zyxel-Buffer-Overflow-Format-String-Command-Injection.html
http://seclists.org/fulldisclosure/2022/Jun/15

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *