CVE-2023-28771

Суть уязвимости

CVE-2023-28771 — это критическая уязвимость типа Command Injection (инъекция команд ОС), возникающая из-за некорректной обработки сообщений об ошибках в протоколе IKE (Internet Key Exchange).

Уязвимость содержится в компоненте формирования логов. Неавторизованный злоумышленник может отправить специально сформированный UDP-пакет на порт 500 (IKE), содержащий метасимволы оболочки в определенных полях. Поскольку устройство не фильтрует эти данные перед передачей в системную команду для логирования, это приводит к выполнению произвольного кода с правами root.

Как исправить

Основным способом устранения является обновление микропрограммы (firmware) до актуальной версии, в которой исправлена логика обработки IKE-пакетов.

1. Определите модель вашего устройства и текущую версию прошивки.
2. Скачайте исправленную версию прошивки с официального портала Zyxel или через панель управления устройством.

Минимальные версии прошивок с исправлением: * ATP: версия ZLD V5.36 Patch 1 и выше. * USG FLEX: версия ZLD V5.36 Patch 1 и выше. * VPN: версия ZLD V5.36 Patch 1 и выше. * ZyWALL/USG: версия ZLD V4.73 Patch 1 и выше.

Для установки обновления через веб-интерфейс: * Перейдите в раздел Maintenance -> File Manager -> Firmware Management. * Нажмите Check Now и установите доступное обновление.

Временные меры

Если немедленное обновление невозможно, необходимо ограничить вектор атаки на сетевом уровне:

1. Ограничьте доступ к портам IKE (UDP 500 и UDP 4500). Разрешите подключения только с доверенных IP-адресов (IP-адреса филиалов или доверенных партнеров).

2. Если VPN (IPSec) не используется, полностью отключите службу IKE на внешних интерфейсах.

3. Настройте правила межсетевого экрана для блокировки подозрительного трафика. Пример команды для проверки текущих сессий (через CLI):

show vpn ike sa

1. Внедрите сигнатуры IPS (Intrusion Prevention System), если ваше устройство поддерживает динамические обновления сигнатур. Убедитесь, что сигнатура для CVE-2023-28771 активна и настроена на действие "Drop".