CVE-2023-33010

Zyxel Multiple Firewalls

ВЕРОЯТНОСТЬ 5.9%
Дата обнаружения

2023-06-05

Официальное описание

Zyxel ATP, USG FLEX, USG FLEX 50(W), USG20(W)-VPN, VPN, and ZyWALL/USG firewalls contain a buffer overflow vulnerability in the ID processing function that could allow an unauthenticated attacker to cause denial-of-service (DoS) conditions and remote code execution on an affected device.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-33010 представляет собой критическую уязвимость типа переполнения буфера (Buffer Overflow) в функции обработки идентификаторов (ID processing) в операционной системе Zyxel ZLD.

Уязвимость позволяет неавторизованному удаленному злоумышленнику отправить специально сформированные пакеты на устройство. Это может привести к двум сценариям: 1. Состояние отказа в обслуживании (DoS) — аварийное завершение работы ключевых сервисов или перезагрузка устройства. 2. Удаленное выполнение произвольного кода (RCE) — получение полного контроля над межсетевым экраном с правами суперпользователя.

Как исправить

Основным и единственным надежным способом устранения уязвимости является обновление микропрограммы (firmware) устройства до актуальной версии, в которой ошибка была исправлена производителем.

Версии с исправлением: * ATP: версия ZLD V5.36 Patch 2 и выше * USG FLEX: версия ZLD V5.36 Patch 2 и выше * USG FLEX 50(W) / USG20(W)-VPN: версия ZLD V5.36 Patch 2 и выше * VPN: версия ZLD V5.36 Patch 2 и выше * ZyWALL / USG: версия ZLD V4.73 Patch 1 и выше

Процесс обновления через веб-интерфейс: 1. Перейдите в раздел Maintenance > File Manager > Firmware Management. 2. Нажмите кнопку Check Now, чтобы проверить наличие обновлений на серверах Zyxel. 3. Нажмите иконку Cloud Update (облако со стрелкой) для загрузки и установки исправления. 4. Дождитесь завершения процесса и автоматической перезагрузки устройства.

Процесс обновления через CLI (Zyxel):

firmware upgrade cloud

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать поверхность атаки, ограничив доступ к административным интерфейсам устройства.

  1. Ограничьте доступ к веб-интерфейсу (HTTP/HTTPS) и консоли (SSH/Telnet) только из доверенных внутренних сетей или через доверенные IP-адреса.
  2. Запретите управление устройством со стороны WAN-интерфейса (интернет).
  3. Если используется функционал VPN, убедитесь, что доступ к портам сервиса разрешен только необходимым группам пользователей, однако помните, что уязвимость находится в функции обработки ID, которая может быть задействована до аутентификации.

Команда для проверки текущей версии ПО:

show version

Команда для блокировки доступа к HTTPS управлению извне (пример для WAN):

no control-interface https wan
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей