Useissa Zyxelin verkkolaitteissa nollapäivähaavoittuvuus (CVE-2020-9054)
Haavoittuvuus5/2020
Useissa Zyxelin valmistamissa VPN-, palomuuri- ja verkkotallennuslaitteissa on kriittinen haavoittuvuus, johon myydään hyväksikäyttömenetelmää internetin pimeillä markkinoilla. Hyökkääjä voi verkon välityksellä saada haavoittuvan laitteen suorittamaan antamaansa ohjelmakoodia ilman tunnistautumista ja ilman tavallisen käyttäjän toimenpiteitä. Zyxel on julkaissut pikakorjauksen tuotteille, joiden tuki on voimassa tai loppunut aikaisintaan vuonna 2017. Kyberturvallisuuskeskus suosittelee käyttäjiä asentamaan pikakorjauksen välittömästi. Vanhemmille haavoittuville tuotteille Zyxel ei julkaise korjaavaa ohjelmistopäivitystä.
Useiden Zyxelin verkkolaitteiden weblogin.cgi-sovelluksen voi käynnistää verkon yli ilman käyttäjän tunnistamista. Sovelluksessa on haavoittuvuus, joka sallii hyökkääjän lähettämän ohjelmakoodin suorittamisen verkkolaitteessa. Näin murtamansa verkkolaitteen kautta hyökkääjällä on paljon mahdollisuuksia hyökätä muita samassa verkossa olevia laitteita ja tietokoneita vastaan.
Zyxel on julkaissut pikakorjauksen tuotteille, joiden tuki on yhä voimassa tai loppunut aikaisintaan vuonna 2017. Kyberturvallisuuskeskus suosittelee käyttäjiä asentamaan pikakorjauksen välittömästi. Zyxel julkaisee pysyvän korjauksen haavoittuvuuteen maaliskuun 2020 laiteohjelmistopäivityksissä.
Vanhemmille haavoittuville tuotteille Zyxel ei julkaise korjaavaa ohjelmistopäivitystä. Kyberturvallisuuskeskus suosittelee, että käyttäjät poistavat haavoittuvan tuotteen käytöstä tai rajoittavat siihen pääsyä ainakin internetistä ja mahdollisuuksien mukaan myös sisäverkon lohkoista.
Kohde
- Muut
- Verkon aktiivilaitteet
- Sulautetut järjestelmät
Hyökkäystapa
- Etäkäyttö
- Ilman käyttäjän toimia
- Ilman kirjautumista
Vaikutukset
- Komentojen mielivaltainen suorittaminen
- Suojauksen ohittaminen
Hyväksikäyttömenetelmä tiedossa
- Rikollisessa käytössä
Ratkaisu
- Korjaava ohjelmistopäivitys
- Ongelman rajoittaminen
Haavoittuvat ohjelmistot
Zyxel on tarkastanut kaikkien tuotteidensa ohjelmistot ja varmistunut, että haavoittuvuus on seuraavissa tuotteissa ja ohjelmistoversioissa:
- verkkotallennuslaitteet (NAS): laiteohjelmiston versio 5.21 ja sitä aiemmat ovat haavoittuvia
- UTM-, ATP- ja VPN-palomuurituotteet: laiteohjelmiston versiot ZLD V4.35 Patch 0:sta versioon ZLD V4.35 Patch 2 asti ovat haavoittuvia. Versiota ZLD V4.35 Patch 0 edeltävät laiteohjelmistot eivät ole haavoittuvia.
Ratkaisu- ja rajoitusmahdollisuudet
Zyxel ja Kyberturvallisuuskeskus suosittelevat Zyxelin haavoittuvuustiedotesivulta saatavan pikapäivityksen (Ulkoinen linkki) asentamista välittömästi. Zyxel on luvannut pysyvän korjauksen laiteohjelmistopäivityksissä, jotka se julkaisee maaliskuussa 2020. Sekin on suositeltavaa asentaa heti, kun se tulee saataville.
Seuraavien haavoittuvien tuotteiden tuki on loppunut vuonna 2016 tai aiemmin. Niille Zyxel ei julkaise korjaavia ohjelmistopäivityksiä:
- NSA210
- NSA220
- NSA220+
- NSA221
- NSA310
- NSA310S
- NSA320
- NSA320S
- NSA325
- NSA325v2
Zyxel ja Kyberturvallisuuskeskus suosittelevat, että näihin laitteisiin pääsy internetistä estettäisiin välittömästi. Ne kannattaa suojata lisäksi erillisellä suodattavalla reitittimellä tai palomuurilla, jos mahdollista. Kyberturvallisuuskeskus suosittelee harkitsemaan sellaisten tuotteiden poistamista käytöstä, joihin ei enää julkaista ohjelmistopäivityksiä ja joissa on tunnettuja haavoittuvuuksia.
Lisätietoja
- Zyxelin haavoittuvuustiedote (Ulkoinen linkki) (CVE-2020-9054)
- KrebsOnSecurity: Zyxel 0day Affects its Firewall Products, Too (Ulkoinen linkki)
- MITRE Corporation, Common Vulnerabilities and Exposures: CVE-2020-9054 (Ulkoinen linkki)
Julkaistu
Lisätty haavoittuvuuden kohteen luokitteluun luokka "Muut".