Zyxel hat 7 Patches veröffentlicht, die mehrere Schwachstellen in einigen Firewall-Versionen beheben. Benutzern wird empfohlen, die Patches für optimalen Schutz zu installieren. Die Schwachstellen variieren von hochgefährlich CVSS 8.1 bis mittel 4.9.
Zyxel hat neue Patches für seine von Schwachstellen betroffenen Firewalls veröffentlicht. laut Zyxel sind folgende Modelle betroffen: Zyxel ATP, USG FLEX und USG FLEX 50(W)/USG20(W)-VPN. Die betroffenen Produkte verwenden in der Regel noch die Firmware ZLD V4.16 bis bis V5.38. Für alle betroffenen Produkte gibt es das Update auf ZLD V5.39, welches die Lücken schließt. Hier die einzelnen Beschreibungen der Gefahren.
CVE-2024-42057 mit CVSS 8.1 – hochgefährlich
Eine Schwachstelle bei der Befehlseinschleusung in der IPSec-VPN-Funktion einiger Firewall-Versionen könnte einem nicht authentifizierten Angreifer ermöglichen, bestimmte Betriebssystembefehle auf einem betroffenen Gerät auszuführen, indem er einen manipulierten Benutzernamen an das anfällige Gerät sendet. Dieser Angriff kann nur erfolgreich sein kann, wenn das Gerät im benutzerbasierten PSK-Authentifizierungsmodus konfiguriert ist und ein gültiger Benutzer mit einem Benutzernamen mit mehr als 28 Zeichen vorhanden ist.
CVE-2024-42058 mit CVSS 7.5 – hochgefährlich
Eine Nullzeiger-Dereferenzierungsschwachstelle in einigen Firewall-Versionen könnte es einem nicht authentifizierten Angreifer ermöglichen, DoS-Zustände herbeizuführen, indem er manipulierte Pakete an ein anfälliges Gerät sendet.
CVE-2024-42059 mit CVSS 7.2 – hochgefährlich
Eine Sicherheitslücke in einigen Firewall-Versionen, die eine Befehlseingabe nach der Authentifizierung ermöglicht, könnte es einem authentifizierten Angreifer mit Administratorrechten ermöglichen, durch Hochladen einer manipulierten komprimierten Sprachdatei per FTP bestimmte Betriebssystembefehle auf einem betroffenen Gerät auszuführen.
CVE-2024-7203 mit CVSS 7.2 – hochgefährlich
Eine Sicherheitslücke in einigen Firewall-Versionen, die eine Befehlseingabe nach der Authentifizierung ermöglicht, könnte es einem authentifizierten Angreifer mit Administratorrechten ermöglichen, durch die Ausführung eines manipulierten CLI-Befehls bestimmte Befehle des Betriebssystems (OS) auf einem betroffenen Gerät auszuführen.
CVE-2024-42060 mit CVSS 7.2 – hochgefährlich
Eine Sicherheitslücke bei der Befehlseingabe nach der Authentifizierung in einigen Firewall-Versionen könnte es einem authentifizierten Angreifer mit Administratorrechten ermöglichen, bestimmte Betriebssystembefehle auf einem betroffenen Gerät auszuführen, indem er eine manipulierte interne Benutzervereinbarungsdatei auf das anfällige Gerät hochlädt.
CVE-2024-42061 mit CVSS 6.1, CVE-2024-6343 mit CVSS 4.9
CVE-2024-42061: Eine reflektierte Cross-Site-Scripting-Schwachstelle (XSS) im CGI-Programm „dynamic_script.cgi“ einiger Firewall-Versionen könnte es einem Angreifer ermöglichen, einen Benutzer dazu zu bringen, eine manipulierte URL mit der XSS-Nutzlast zu besuchen.
CVE-2024-6343: Eine Pufferüberlauf-Sicherheitslücke im CGI-Programm einiger Firewall-Versionen könnte es einem authentifizierten Angreifer mit Administratorrechten ermöglichen, einen Denial-of-Service-Zustand (DoS) herbeizuführen, indem er eine manipulierte HTTP-Anfrage an ein anfälliges Gerät sendet.
Mehr bei Zyxel.com
Über Zyxel Seit mehr als 30 Jahren zählt Zyxel zu den wichtigsten global tätigen Herstellern im Bereich Internetzugangs- und Netzwerklösungen und verbindet durch zukunftsfähige, technologisch führende Innovationen Menschen mit dem Internet – egal ob Privatanwender oder Unternehmen. Mit über 2.000 Mitarbeitern und einem mehr als 70 Länder umfassenden Distributionsnetz entwickelt das Unternehmen in Taiwan, den USA und Deutschland bereits heute die Netzwerke von morgen und hilft Kunden bei der Erschließung ihres globalen Geschäftspotenzials. Deshalb nimmt Zyxel seit langem international eine technologische Führungsrolle innerhalb der Branche ein. Kunden in 150 Ländern und über 100 Millionen bisher verkaufte World’s-First-Produkte stehen für den extrem hohen Kompetenz- und Innovationsgrad des Unternehmens. Zyxel ist der Hersteller in Deutschland, der ein komplettes Netzwerkportfolio mit zukunftsweisenden End-to-End-Lösungen aus einer Hand bietet. Vom Standort Würselen aus betreut Zyxel Deutschland den kompletten deutschsprachigen Raum mit perfektem Kundenservice und technologisch führenden, zukunftsweisenden Lösungen.