Security Week 2220: уязвимость в офисных устройствах Zyxel

Компания Zyxel на прошлой неделе закрыла критическую уязвимость в трех офисных брандмауэрах серий Zywall ATP и USG FLEX. Проблему обнаружила компания Rapid7, которая выложила технический отчет с видео, демонстрирующим эксплуатацию дыры. Уязвимость получила идентификатор CVE-2022-30525 и рейтинг опасности в 9,8 балла из 10 по шкале CvSS.



Причина такого высокого рейтинга — возможность удаленного выполнения команд без авторизации на устройстве, которое по своей природе должно быть доступно извне. Подверженные устройства Zyxel рекламируются как готовое решение для защиты небольшого подразделения крупной организации, обеспечивают (в зависимости от модели) работу VPN-шлюза, фильтрацию доступа к веб-сайтам и даже сканирование электронной почты. Скорее всего, баг связан с функцией zero-touch provisioning для быстрого внедрения новых устройств.
Читать дальше →

Источник: Хабрахабр

Перейти на сайт

Похожие новости

• [Перевод] Postman логирует все ваши секреты и переменные окружения
• Math Agency: Google AI Mode: новая модель поиска, которая меняет всё
• Атака клонов или темная сторона Open Source
• А вам точно нужно делать и продвигать приложение? Два главных вопроса бизнесу перед разработкой
• Гайд по криптостойкости, как защитить наши данные
• [Перевод] Взлом моей машины, и, вероятно, вашей — уязвимости в приложении Volkswagen
• [Перевод] ПОСТРОЕНИЕ ДОВЕРИЯ К ИИ: как блокчейн повышает целостность, безопасность и конфиденциальность данных
• Конкурс — дело тонкое: механики, которые работают у застройщиков (и не вызывают кринж у аудитории)
• Кризис идей: что делать, если не растут продажи на маркетплейсе
• От ручного труда к автоматизированным системам: польза для кредитных организаций