CVE-2024-11667

Zyxel Multiple Firewalls

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-12-03

Официальное описание

Multiple Zyxel firewalls contain a path traversal vulnerability in the web management interface that could allow an attacker to download or upload files via a crafted URL.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-11667 представляет собой критическую уязвимость типа Path Traversal (обход пути) в веб-интерфейсе управления межсетевых экранов Zyxel. Проблема возникает из-за недостаточной фильтрации входных данных в URL-запросах.

Злоумышленник может сформировать специальный HTTP-запрос, содержащий последовательности обхода директорий (например, ../), что позволяет: * Скачивать произвольные системные файлы с устройства (чтение конфигураций, хешей паролей). * Загружать вредоносные файлы в произвольные директории системы. * Потенциально получить полный контроль над устройством (RCE) через перезапись критических исполняемых файлов или скриптов.

Как исправить

Основным способом устранения уязвимости является обновление микропрограммы (firmware) до актуальной версии, в которой реализована корректная валидация путей.

Список уязвимых серий и версий для обновления:

  • ATP Series: Обновиться до версии V5.39 или выше.
  • USG FLEX Series: Обновиться до версии V5.39 или выше.
  • USG FLEX 50(W) / USG20(W)-VPN: Обновиться до версии V5.39 или выше.
  • VPN Series: Обновиться до версии V5.39 или выше.

Процесс обновления через CLI:

firmware upgrade

Процесс обновления через Web-интерфейс: 1. Перейдите в раздел Maintenance > File Manager > Firmware Management. 2. Нажмите кнопку Check Now, чтобы проверить наличие обновлений в облаке. 3. Нажмите на иконку Cloud Upgrade для начала процесса установки.

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать поверхность атаки следующими методами:

  1. Ограничение доступа к управлению: Запретите доступ к веб-интерфейсу управления (HTTP/HTTPS) со стороны WAN-интерфейсов. Разрешите доступ только из доверенных сегментов сети (Management VLAN) или через VPN.

  2. Настройка правил Firewall (ACL): Создайте правило, разрешающее доступ к портам 80/443 только для конкретных IP-адресов администраторов.

configure terminal


policy-control rule 1


action allow


source-ip <ADMIN_IP>


service HTTPS

  1. Использование Geo-IP: Если управление извне необходимо, ограничьте доступ по географическому признаку, заблокировав все страны, кроме региона присутствия администраторов.

  2. Мониторинг логов: Настройте отправку логов на внешний Syslog-сервер и отслеживайте аномальные GET/POST запросы, содержащие символы .., %2e%2e или пути к системным директориям (/etc/, /conf/).

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей