Le fabricant d’équipements de mise en réseau Zyxel a averti ses clients des multiples vulnérabilités récemment découvertes dans un certain nombre de produits de pare-feu, de points d’accès et de contrôleurs de points d’accès. Les vulnérabilités peuvent être exploitées pour voler diverses données des appareils, les planter, exécuter des commandes arbitraires du système d’exploitation et désactiver l’authentification multifacteur.
Isolées, les vulnérabilités ne sont pas particulièrement menaçantes, mais elles peuvent être enchaînées pour effectuer une attaque plus dévastatrice. Étant donné que de nombreuses grandes entreprises utilisent des équipements Zyxel, la société a exhorté ses clients à corriger immédiatement leurs terminaux.
Les quatre failles en question sont identifiées comme CVE-2022-0734, une vulnérabilité CSS dans le composant CGI ; CVE-2022-26531, une faille de validation incorrecte dans certaines commandes CLI ; CVE-2022-26532, une faille d’injection de commande dans certaines commandes CLI ; et CVE-2022-0910 (6.5), une vulnérabilité de contournement d’authentification dans le composant CGI.
De nombreux appareils concernés
Les appareils concernés par les failles comprennent les pare-feu USG/ZyWALL, USG FLEX, ATP, VPN, NSG, les contrôleurs AP NXC2500 et NXC5500 et une gamme de produits de point d’accès, y compris des modèles des séries NAP, NWA, WAC et WAX.
Bien que les correctifs soient déjà disponibles pour la plupart des terminaux concernés, les administrateurs doivent demander à leur représentant de service local le correctif des contrôleurs AP, car ceux-ci ne sont pas disponibles pour le grand public.
Comme BipOrdinateur notes, les entreprises américaines devraient s’assurer de rafistoler dès que possible, étant donné qu’elles se dirigent vers un week-end de vacances. Les acteurs de la menace sont connus pour augmenter leurs activités pendant les week-ends et les jours fériés, car ce sont les jours où les services informatiques fonctionnent généralement avec une équipe réduite.
Zyxel est une cible populaire pour les cyber-escrocs. Plus tôt ce mois-ci, ses produits VPN et pare-feu ont été attaqués, lorsqu’une vulnérabilité critique identifiée comme CVE-2022-30525 – présente dans ATP, VPN et certains produits de la série USG FLEX – a été découverte.
Cette faille permettait aux pirates de contourner l’authentification et d’exécuter du code à distance.
Via BleepingComputer (s’ouvre dans un nouvel onglet)