Zyxel Networks 发布固件更新,以解决影响其一系列网络产品的多个漏洞,包括 4G LTE/5G NR CPE、DSL/以太网 CPE、光纤 ONT 和 WiFi 扩展器。这些漏洞有可能使攻击者中断服务,甚至在受影响的设备上执行恶意代码。
其中一个关键漏洞被识别为 CVE-2024-8748,它是一个缓冲区溢出漏洞,可允许远程攻击者对受影响设备的 Web 管理界面发起拒绝服务 (DoS) 攻击。此漏洞存在于 Zyxel 某些固件版本中使用的第三方库 “libclinkc ”的数据包解析器中。
另一个重大漏洞(CVE-2024-9200)是一个验证后命令注入漏洞,可允许通过验证的攻击者在易受攻击的设备上执行任意操作系统命令。该漏洞影响某些 DSL/Ethernet CPE 固件版本中诊断功能的 “host ”参数。
CVE-2024-9197 是一个中等严重性漏洞,它是 CGI 程序 “action ”参数中的验证后缓冲区溢出漏洞,影响多个固件版本。拥有管理权限的验证攻击者可通过恶意 HTTP GET 请求造成 DoS 状况。Zyxel 指出,有漏洞的功能和 WAN 访问均 “默认禁用”,从而进一步限制了漏洞的暴露。
受影响的Zyxel产品范围广泛,包括LTE3301-PLUS、DX3300-T0和VMG3927-B50B等流行型号。已确定特定固件版本存在漏洞,可立即部署修补程序。有关受影响机型的完整列表和补丁详情,请用户查阅 Zyxel 的官方公告。
Zyxel 强调,许多漏洞都有缓解因素。例如,CVE-2024-8748 只有在启用广域网访问时才能被利用,而广域网访问在默认情况下是禁用的。此外,要成功利用 CVE-2024-9200 漏洞,需要破坏强大、唯一的管理员密码。
尽管存在这些缓解因素,但该公司仍敦促用户尽快安装最新的固件补丁,以确保获得最佳保护。Zyxel 在其官方安全公告中提供了受影响产品和相应固件版本的详细列表。
Zyxel 在其公告中表示:“经过彻底调查,我们已经在漏洞支持期内确定了受影响的产品,并发布了固件补丁来解决这些漏洞。”
即使有缓解因素,如果不加以解决,漏洞也会带来重大风险。我们鼓励用户查看 Zyxel 的公告,并采取必要行动确保设备安全。
文章原文链接:https://www.anquanke.com/post/id/302411