Zyxel hat Sicherheitsmeldungen herausgegeben, in denen der Hersteller vor teilweise kritischen Sicherheitslücken in Firewalls und Access Points warnt. Aktualisierte Software zum Schließen der Schwachstellen steht bereit. Administratorinnen und Administratoren sollten sie zügig installieren. Insgesamt drei Security-Advisories hat Zyxel am Dienstag veröffentlicht. Sie behandeln zusammen neun Sicherheitslücken mit CVE-Einträgen, von denen eine als kritisches Risiko gilt, sechs als hohes und je eine als mittlerer und niedriger Bedrohungsgrad. Die kritische Schwachstelle ermöglicht nicht authentifizierten Angreifern aus dem Netz, durch das Senden von bösartig präparierten Paketen an ein verwundbares Gerät Befehle im zugrundeliegenden Betriebssystem auszuführen. Ursächlich sei eine unzureichende Behandlung von Fehlernachrichten (CVE-2023-28771, CVSS 9.8, Risiko „kritisch“). Betroffen sind Zyxel ATP, USG Flex und VPN mit ZLD 4.60 bis 5.35; Version 5.36 dichtet die Lücke ab. Zudem steht für ZyWALL/USG die fehlerbereinigte Firmware ZLD 4.73 Patch 1 bereit. Das zweite Advisory bündelt sechs Schwachstellen in den Firewalls und Access Points von Zyxel. Vier davon betreffen CGI-Programme auf den Geräten, die angemeldeten Administratoren oder teils auch Nutzern Denial-of-Service-Attacken ermöglichen oder das unbefugte Ausführen von Befehlen im Betriebssystem. Wenn IT-Verantwortliche den Zugriff aus dem Internet freigegeben haben, könnten nicht authentifizierte Angreifer zudem Core-Dumps auslösen. Die Lücken gelten größtenteils als hochriskant (CVE-2023-22913, CVSS 8.1, Risiko „hoch“; CVE-2023-22914, CVSS 7.2, hoch; CVE-2023-22915, CVSS 7.5, hoch; CVE-2023-22916, CVSS 8.1, hoch; CVE-2023-22917, CVSS 7.5, hoch; CVE-2023-22918, CVSS 6.5, mittel). Auch diese Lücken stopft die ZLD-Version 5.36 für Zyxel ATP, USG Flex, URG Flex 50(W), USG 20(W)-VPN, sowie in der Sicherheitsmeldung aufgelistet Hotfixes und Firmware-Updates für zahlreiche Access Points. Im letzten Fehlerbericht nennt Zyxel zwei Schwachstellen in den Firewalls, die das Update auf ZLG 5.36 für Zyxel ATP, USG Flex, USG Flex 50(W), USG 20(W)-VPN und VPN abdichtet. Nur knapp am kritischen Status schrammt eine Lücke vorbei, durch die angemeldete Angreifer aus dem Netz – der WAN-Zugriff muss jedoch zuvor aktiviert worden sein – Kommandozeilenbefehle im Betriebssystem der Firewalls ausführen können (CVE-2023-27991, CVSS 8.8, hoch). Zudem war eine Cross-Site-Scripting-Lücke in älteren Softwareständen zu finden (CVE-2023-27990, CVSS 3.5, niedrig). Die Sicherheitsmeldungen mit weiteren Details finden sich hier:
- Zyxel security advisory for OS command injection vulnerability of firewalls
- Zyxel security advisory for multiple vulnerabilities of firewalls and APs
- Zyxel security advisory for XSS vulnerability and post-authentication command injection vulnerability in firewalls
IT-Verantwortliche sollten die bereitstehenden Updates zügig herunterladen und anwenden, um die potenzielle Angriffsfläche zu reduzieren. Zuletzt hatte Zyxel im vergangenen Herbst Schwachstellen in NAS-Systemen gemeldet. Durch kritische Sicherheitslücken hätten Angreifer Schadcode auf die Geräte schleusen können.