Kriittinen haavoittuvuus etäkäytettävissä Zyxelin tuotteissa
Haavoittuvuus18/2021
Zyxelin mukaan kehittynyt hyökkääjä on käyttänyt haavoittuvuutta CVE-2021-35029 hyväksi, joka on alkanut tietojemme perusteella jo 22.6. Zyxel on julkaissut 6.7. korjaavan päivityksen ja ohjeet, joilla voidaan lieventää haavoittuvuutta ja sen vaikutuksia.
Zyxelin 24.6 julkaiseman haavoittuvuuden tekee kriittiseksi se, että verkkolaitteet ovat saatavilla internetistä, mikä tekee niistä myös hyökkääjille haluttuja kohteita.
Hyökkääjät ovat haavoittuvuutta hyväksikäyttämällä ohittaneet tunnistautumisen ja muodostaneet SSL VPN-tunnelin tuntemattomien käyttäjien nimissä.
Zyxel julkaisi haavoittuvuuteen liittyen korjaavan päivityksen 6.7. ja jo aiemmin oppaan parhaista käytänteistä liittyen etäkäytettäviin verkkolaitteisiin.
Haavoittuvuus ei koske kuluttajalaitteita, eikä yksityiskäyttäjiltä vaadita toimenpiteitä tämän haavoittuvuuden suhteen. Laitteet ovat pääsääntöisesti pienyritysten käytössä.
Kohde
- Verkon aktiivilaitteet
Hyökkäystapa
- Etäkäyttö
Vaikutukset
- Suojauksen ohittaminen
Hyväksikäyttömenetelmä tiedossa
- Rikollisessa käytössä
Ratkaisu
- Korjaava ohjelmistopäivitys
Haavoittuvuuden kohde
Zyxel VPN, ZyWALL, USG, ATP, USG FLEX -laitteet
Mistä on kysymys?
Zyxel on julkaissut 6.7 päivityksen haavoittuvuuteen CVE-2021-35029 (Ulkoinen linkki) (ulkoinen linkki):
Ei koske kuluttajalaitteita.
Päivitetty tiedot korjaavasta päivityksestä, jonka Zyxel julkaisi 6.7.