CVE-2023-33009

Zyxel Multiple Firewalls

ВЕРОЯТНОСТЬ 6.2%
Дата обнаружения

2023-06-05

Официальное описание

Zyxel ATP, USG FLEX, USG FLEX 50(W), USG20(W)-VPN, VPN, and ZyWALL/USG firewalls contain a buffer overflow vulnerability in the notification function that could allow an unauthenticated attacker to cause denial-of-service (DoS) conditions and remote code execution on an affected device.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-33009 представляет собой критическую уязвимость типа «переполнение буфера» (Buffer Overflow) в функции уведомлений (notification function) межсетевых экранов Zyxel.

Основная опасность заключается в том, что ошибка возникает на этапе обработки сетевых пакетов до прохождения аутентификации. Это позволяет неавторизованному удаленному злоумышленнику: 1. Вызвать состояние «отказ в обслуживании» (DoS), приводящее к аварийному завершению работы устройства и прерыванию сетевого трафика. 2. Выполнить произвольный код (RCE) с правами суперпользователя, что дает полный контроль над сетевым шлюзом и возможность дальнейшего продвижения внутри корпоративной сети.

Как исправить

Единственным надежным способом устранения уязвимости является установка актуального микропрограммного обеспечения (firmware), выпущенного производителем.

  1. Определите модель вашего устройства и текущую версию прошивки через веб-интерфейс (Dashboard).
  2. Скачайте соответствующее обновление и установите его.

Список исправленных версий по сериям устройств:

  • ATP: версии с ZLD V5.36 Patch 2 по ZLD V5.37
  • USG FLEX (включая 50/50W): версии с ZLD V5.36 Patch 2 по ZLD V5.37
  • USG20-VPN / USG20W-VPN: версии с ZLD V5.36 Patch 2 по ZLD V5.37
  • VPN: версии с ZLD V5.36 Patch 2 по ZLD V5.37
  • ZyWALL / USG: версии с ZLD V4.73 Patch 2 по ZLD V4.73 Patch 3

Для проверки наличия обновлений через CLI (если настроен доступ к серверам Zyxel):

firmware check

Для применения облачного обновления:

firmware upgrade cloud

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать поверхность атаки, ограничив доступ к административным интерфейсам устройства.

  1. Ограничение доступа к WAN-интерфейсу: Запретите доступ к HTTP/HTTPS и SSH портам управления со стороны внешней сети (Internet). Разрешите доступ только из доверенных внутренних подсетей или через защищенный VPN-канал.

  2. Отключение неиспользуемых служб: Если функция уведомлений или удаленного управления не является критически важной, временно отключите соответствующие сервисы в настройках Configuration > System > WWW.

  3. Настройка правил Firewall: Создайте правило, блокирующее входящий трафик на порты управления для всех адресов, кроме IP-адресов администраторов.

Пример команды для проверки текущих правил доступа (через CLI):

show firewall-rule
  1. Использование IPS (Intrusion Prevention System): Если на устройстве активна подписка на сервисы безопасности, убедитесь, что сигнатуры IPS обновлены до последней версии. Сигнатуры Zyxel включают паттерны для блокировки попыток эксплуатации переполнения буфера.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей