Etusivu: Kyberturvallisuuskeskus
Siirry hakuun

Useissa Zyxelin verkkolaitteissa nollapäivähaavoittuvuus (CVE-2020-9054)

Haavoittuvuus5/2020

Useissa Zyxelin valmistamissa VPN-, palomuuri- ja verkkotallennuslaitteissa on kriittinen haavoittuvuus, johon myydään hyväksikäyttömenetelmää internetin pimeillä markkinoilla. Hyökkääjä voi verkon välityksellä saada haavoittuvan laitteen suorittamaan antamaansa ohjelmakoodia ilman tunnistautumista ja ilman tavallisen käyttäjän toimenpiteitä. Zyxel on julkaissut pikakorjauksen tuotteille, joiden tuki on voimassa tai loppunut aikaisintaan vuonna 2017. Kyberturvallisuuskeskus suosittelee käyttäjiä asentamaan pikakorjauksen välittömästi. Vanhemmille haavoittuville tuotteille Zyxel ei julkaise korjaavaa ohjelmistopäivitystä.

Useiden Zyxelin verkkolaitteiden weblogin.cgi-sovelluksen voi käynnistää verkon yli ilman käyttäjän tunnistamista. Sovelluksessa on haavoittuvuus, joka sallii hyökkääjän lähettämän ohjelmakoodin suorittamisen verkkolaitteessa. Näin murtamansa verkkolaitteen kautta hyökkääjällä on paljon mahdollisuuksia hyökätä muita samassa verkossa olevia laitteita ja tietokoneita vastaan.

Zyxel on julkaissut pikakorjauksen tuotteille, joiden tuki on yhä voimassa tai loppunut aikaisintaan vuonna 2017. Kyberturvallisuuskeskus suosittelee käyttäjiä asentamaan pikakorjauksen välittömästi. Zyxel julkaisee pysyvän korjauksen haavoittuvuuteen maaliskuun 2020 laiteohjelmistopäivityksissä.

Vanhemmille haavoittuville tuotteille Zyxel ei julkaise korjaavaa ohjelmistopäivitystä. Kyberturvallisuuskeskus suosittelee, että käyttäjät poistavat haavoittuvan tuotteen käytöstä tai rajoittavat siihen pääsyä ainakin internetistä ja mahdollisuuksien mukaan myös sisäverkon lohkoista.

Kohde

  • Muut
  • Verkon aktiivilaitteet
  • Sulautetut järjestelmät

Hyökkäystapa

  • Etäkäyttö
  • Ilman käyttäjän toimia
  • Ilman kirjautumista

Vaikutukset

  • Komentojen mielivaltainen suorittaminen
  • Suojauksen ohittaminen

Hyväksikäyttömenetelmä tiedossa

  • Rikollisessa käytössä

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ongelman rajoittaminen

Haavoittuvat ohjelmistot

Zyxel on tarkastanut kaikkien tuotteidensa ohjelmistot ja varmistunut, että haavoittuvuus on seuraavissa tuotteissa ja ohjelmistoversioissa:

  • verkkotallennuslaitteet (NAS): laiteohjelmiston versio 5.21 ja sitä aiemmat ovat haavoittuvia
  • UTM-, ATP- ja VPN-palomuurituotteet: laiteohjelmiston versiot ZLD V4.35 Patch 0:sta versioon ZLD V4.35 Patch 2 asti ovat haavoittuvia. Versiota ZLD V4.35 Patch 0 edeltävät laiteohjelmistot eivät ole haavoittuvia.

Ratkaisu- ja rajoitusmahdollisuudet

Zyxel ja Kyberturvallisuuskeskus suosittelevat Zyxelin haavoittuvuustiedotesivulta saatavan pikapäivityksen (Ulkoinen linkki) asentamista välittömästi. Zyxel on luvannut pysyvän korjauksen laiteohjelmistopäivityksissä, jotka se julkaisee maaliskuussa 2020. Sekin on suositeltavaa asentaa heti, kun se tulee saataville.

Seuraavien haavoittuvien tuotteiden tuki on loppunut vuonna 2016 tai aiemmin. Niille Zyxel ei julkaise korjaavia ohjelmistopäivityksiä:

  • NSA210
  • NSA220
  • NSA220+
  • NSA221
  • NSA310
  • NSA310S
  • NSA320
  • NSA320S
  • NSA325
  • NSA325v2

Zyxel ja Kyberturvallisuuskeskus suosittelevat, että näihin laitteisiin pääsy internetistä estettäisiin välittömästi. Ne kannattaa suojata lisäksi erillisellä suodattavalla reitittimellä tai palomuurilla, jos mahdollista. Kyberturvallisuuskeskus suosittelee harkitsemaan sellaisten tuotteiden poistamista käytöstä, joihin ei enää julkaista ohjelmistopäivityksiä ja joissa on tunnettuja haavoittuvuuksia.

Lisätietoja

Julkaistu

Lisätty haavoittuvuuden kohteen luokitteluun luokka "Muut".