Attention, utilisateurs de Zyxel ! Les fournisseurs ont corrigé quelques vulnérabilités critiques dans Zyxel Firewall qui pourraient permettre des attaques par exécution de commande à distance. Les utilisateurs doivent se dépêcher de mettre à jour leurs appareils avec les dernières versions logicielles pour recevoir les correctifs.
De multiples vulnérabilités découvertes dans le pare-feu Zyxel
Zyxel – le géant chinois de la technologie et des réseaux – a corrigé de multiples vulnérabilités dans son pare-feu avec les dernières versions.
Plus précisément, les fournisseurs ont corrigé trois vulnérabilités de sécurité affectant leurs dispositifs Firewall.
La première d'entre elles est une vulnérabilité d'exécution de commande à distance de gravité critique, CVE-2023-28771 (CVSS 9.8). Selon l'avis de Zyxel, la faille existait en raison d'une mauvaise gestion des messages, permettant à un adversaire distant non authentifié d'exécuter des commandes du système d'exploitation sur les dispositifs de pare-feu ciblés. Pour exploiter la faille, l'attaquant devait envoyer des paquets de données malveillants à l'appareil cible.
Les appareils concernés par cette vulnérabilité sont ATP ZLD V4.60 à V5.35, USG FLEX ZLD V4.60 à V5.35, VPN ZLD V4.60 à V5.35, ZyWALL/USG ZLD V4.60 à V4.73. Zyxel a remercié TRAPA Security d'avoir détecté et signalé cette faille.
La vulnérabilité suivante, CVE-2023-27990, est une vulnérabilité de script intersite (XSS) de haute sévérité (CVSS 8.8) dans les pare-feux Zyxel. L'exploitation de cette faille pourrait permettre à un adversaire authentifié disposant de privilèges d'administrateur de stocker des scripts malveillants sur l'appareil cible. Les scripts s'exécuteraient si un utilisateur visitait la page Logs.
Ensuite, la troisième vulnérabilité, CVE-2023-27991, pourrait également permettre des attaques par injection de commande du système d'exploitation. La faille impactait la commande CLI des pare-feu, permettant à un attaquant authentifié d'exécuter des commandes à distance.
Selon l'avis de Zyxel, ces deux vulnérabilités affectent l'ATP ZLD V4.32 à V5.35, l'USG FLEX ZLD V4.50 à V5.35, l'USG FLEX 50(W)/USG20(W)-VPN ZLD V4.16 à V5.35, et le VPN ZLD V4.30 à V5.35. Zyxel attribue à Alessandro Sgreccia de Tecnical Service SRL la responsabilité d'avoir signalé les deux vulnérabilités.
Déploiement des correctifs
Zyxel a corrigé les trois vulnérabilités avec les dernières versions logicielles des appareils vulnérables. Les versions corrigées comprennent ATP ZLD V5.36, USG FLEX ZLD V5.36, VPN ZLD V5.36, ZyWALL/USG ZLD V4.73 Patch 1 (correction de CVE-2023-28771), et USG FLEX 50(W) / USG20(W)-VPN ZLD V5.36 (correction de CVE-2023-27990, CVE-2023-27991).
Bien que les mises à jour puissent parvenir automatiquement aux personnes concernées, les utilisateurs doivent vérifier manuellement les mises à jour possibles pour leurs appareils afin de s'assurer de recevoir les correctifs à temps.
Fais-nous part de tes réflexions dans les commentaires.
