Zyxel hat Patches veröffentlicht, um vier Sicherheitslücken zu schließen, die die Firewall, den AP Controller und die AP-Produkte von Zyxel betreffen und die Ausführung beliebiger Betriebssystembefehle und den Diebstahl ausgewählter Informationen ermöglichen.
Die Liste der Sicherheitsschwachstellen lautet wie folgt
CVE-2022-0734 – Eine Cross-Site-Scripting (XSS)-Schwachstelle in einigen Firewall-Versionen, die ausgenutzt werden kann, um über ein bösartiges Skript auf Informationen zuzugreifen, die im Browser des Benutzers gespeichert sind, wie z. B. Cookies oder Sitzungs-Tokens.
CVE-2022-26531 – Mehrere Fehler bei der Eingabevalidierung von Befehlen in der Befehlszeilenschnittstelle (CLI) einiger Firewall-, AP-Controller- und AP-Geräteversionen, die ausgenutzt werden können, um einen Systemabsturz zu verursachen.
CVE-2022-26532 – Eine Befehlsinjektionsschwachstelle im CLI-Befehl „packet-trace“ für einige Versionen von Firewalls, AP-Controllern und AP-Geräten, die zur Ausführung beliebiger Betriebssystembefehle führen kann.
CVE-2022-0910 – Eine Sicherheitslücke bei der Umgehung der Authentifizierung, die ausgewählte Firewall-Versionen betrifft und es einem Angreifer ermöglichen könnte, über einen IPsec-VPN-Client von einer Zwei-Faktor-Authentifizierung auf eine Ein-Faktor-Authentifizierung herunterzustufen.
Während Zyxel Software-Patches für Firewalls und AP-Geräte veröffentlicht hat, können Hotfixes für AP-Controller, die von CVE-2022-26531 und CVE-2022-26532 betroffen sind, nur durch Kontaktaufnahme mit den jeweiligen lokalen Zyxel-Supportteams bezogen werden.
Die Entwicklung kommt zu einem Zeitpunkt, an dem ein kritischer Command-Injection-Fehler in ausgewählten Versionen von Zyxel-Firewalls (CVE-2022-30525, CVSS-Score: 9.8) aktiv ausgenutzt wird, was die U.S. Cybersecurity and Infrastructure Security Agency dazu veranlasst hat, den Fehler in ihren Known Exploited Vulnerabilities Catalog aufzunehmen.