कई Zyxel फ़ायरवॉल, एक्सेस पॉइंट और एक्सेस पॉइंट कंट्रोलर में कई भेद्यताएं पाई गई हैं। ग्राहकों को प्रदान किए गए अद्यतनों को यथाशीघ्र आयात करना चाहिए.
IT कंपनी Zyxel, जो नेटवर्क समाधान और इंटरनेट एक्सेस में माहिर है अपने कई फायरवॉल्स, एक्सेस पॉइंट्स और एक्सेस पॉइंट कंट्रोलर्स में कई कमजोरियों पर सुरक्षा अलर्ट जारी किया. हालांकि किसी भी भेद्यता को गंभीर के रूप में वर्गीकृत नहीं किया गया है, कंपनी प्रदान किए गए पैच को जल्द से जल्द लागू करने की दृढ़ता से सलाह देती है, क्योंकि वे अभी भी अपराधियों द्वारा शोषण किए जा सकते हैं और शोषण श्रृंखला का हिस्सा बन सकते हैं। यह विशेष रूप से महत्वपूर्ण है कि कई बड़े संगठन Zyxel उत्पादों का उपयोग करते हैं और हैकर्स विशेष रूप से अच्छी तरह से संरक्षित नेटवर्क तक पहुंच प्राप्त करने के लिए ऐसी कमजोरियों में रुचि रखते हैं।
चार खतरनाक भेद्यताएँ
चेतावनी कुल चार कमजोरियों को सूचीबद्ध करती है। CVE-2022-0734 कॉमन गेटवे इंटरफ़ेस (CGI) घटक में एक मध्यम-गंभीरता वाली क्रॉस-साइट स्क्रिप्टिंग भेद्यता है जो हमलावरों को कुकीज़ चुराने के लिए स्क्रिप्ट का उपयोग करने की अनुमति देती है और उपयोगकर्ताओं के ब्राउज़र में संग्रहीत सत्र टोकन सहेजे जाते हैं। CVE-2022-26531 कुछ कमांड-लाइन इंटरफ़ेस (CLI) कमांड में एक मध्यम-गंभीरता, अवैध सत्यापन दोष है जो स्थानीय रूप से प्रमाणित हमलावर को बफर ओवरफ़्लो या सिस्टम क्रैश का कारण बनता है। कुछ सीएलआई कमांड, सीवीई-2022-26532 में एक उच्च गंभीरता कमांड इंजेक्शन दोष भी है, जो स्थानीय रूप से प्रमाणित हमलावर को मनमाना ऑपरेटिंग सिस्टम कमांड निष्पादित करने की अनुमति देता है। गुच्छा में चौथा CVE-2022-0910 है, CGI घटक में एक मध्यम-गंभीरता प्रमाणीकरण बाईपास भेद्यता है जो हमलावरों को दो-कारक प्रमाणीकरण को बायपास करने और इसे IPsec - डाउनग्रेड वीपीएन क्लाइंट पर एक-कारक प्रमाणीकरण में बदलने की अनुमति देता है।
सुरक्षा अद्यतन उपलब्ध हैं
कमजोरियों से प्रभावित Zyxel उत्पाद USG/ZyWALL, USG FLEX, ATP, VPN, NSG फ़ायरवॉल, NXC2500 और NXC5500 AP नियंत्रक और NAP, NWA, WAC और WAX के मॉडल सहित कई एक्सेस पॉइंट उत्पाद हैं। सुरक्षा अद्यतन अब इनमें से लगभग सभी मॉडलों के लिए उपलब्ध हैं और इन्हें जल्द से जल्द स्थापित किया जाना चाहिए। हालाँकि, इसके साथ एक समस्या यह हो सकती है कि प्रशासकों को AP नियंत्रकों के लिए एक स्थानीय हॉटफ़िक्स का अनुरोध करना पड़े, क्योंकि कोई अन्य समाधान सार्वजनिक रूप से उपलब्ध नहीं है। फ़ायरवॉल के साथ, USG/ZyWALL फ़र्मवेयर संस्करण 4.72 के साथ समस्याओं को ठीक करता है। USG FLEX, ATP और VPN को ZLD संस्करण 5.30 में अपडेट करने की आवश्यकता है और NSG उत्पादों को v1.33 पैच 5 के माध्यम से समाधान मिलेगा।
8com.de पर अधिक
8कॉम के बारे में 8com साइबर डिफेंस सेंटर प्रभावी रूप से 8com के ग्राहकों के डिजिटल इन्फ्रास्ट्रक्चर को साइबर हमलों से बचाता है। इसमें सुरक्षा सूचना और घटना प्रबंधन (एसआईईएम), भेद्यता प्रबंधन और पेशेवर पैठ परीक्षण शामिल हैं। इसके अलावा, यह सामान्य मानकों के अनुसार प्रमाणन सहित सूचना सुरक्षा प्रबंधन प्रणाली (ISMS) के विकास और एकीकरण की पेशकश करता है। जागरूकता उपाय, सुरक्षा प्रशिक्षण और घटना प्रतिक्रिया प्रबंधन प्रस्ताव को पूरा करते हैं।