Kriittinen haavoittuvuus etäkäytettävissä Zyxelin tuotteissa

Haavoittuvuus18/2021

Zyxelin mukaan kehittynyt hyökkääjä on käyttänyt haavoittuvuutta CVE-2021-35029 hyväksi, joka on alkanut tietojemme perusteella jo 22.6. Zyxel on julkaissut 6.7. korjaavan päivityksen ja ohjeet, joilla voidaan lieventää haavoittuvuutta ja sen vaikutuksia.

Zyxelin 24.6 julkaiseman haavoittuvuuden tekee kriittiseksi se, että verkkolaitteet ovat saatavilla internetistä, mikä tekee niistä myös hyökkääjille haluttuja kohteita.

Hyökkääjät ovat haavoittuvuutta hyväksikäyttämällä ohittaneet tunnistautumisen ja muodostaneet SSL VPN-tunnelin tuntemattomien käyttäjien nimissä. 

Zyxel julkaisi haavoittuvuuteen liittyen korjaavan päivityksen 6.7. ja jo aiemmin oppaan parhaista käytänteistä liittyen etäkäytettäviin verkkolaitteisiin.

Haavoittuvuus ei koske kuluttajalaitteita, eikä yksityiskäyttäjiltä vaadita toimenpiteitä tämän haavoittuvuuden suhteen. Laitteet ovat pääsääntöisesti pienyritysten käytössä.

Kohde

  • Verkon aktiivilaitteet

Hyökkäystapa

  • Etäkäyttö

Vaikutukset

  • Suojauksen ohittaminen

Hyväksikäyttömenetelmä tiedossa

  • Rikollisessa käytössä

Ratkaisu

  • Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot

Zyxel VPN, ZyWALL, USG, ATP, USG FLEX -laitteet

Ratkaisu- ja rajoitusmahdollisuudet

Zyxel on julkaissut 6.7 päivityksen haavoittuvuuteen CVE-2021-35029 (Ulkoinen linkki) (ulkoinen linkki):

 

Ei koske kuluttajalaitteita.

Päivitetty tiedot korjaavasta päivityksestä, jonka Zyxel julkaisi 6.7.