2min

Een kritieke kwetsbaarheid in Zyxel-netwerkdevices wordt op dit moment actief misbruikt. Ook is recent een nieuwe softwarefout in netwerkdevices van de fabrikant aangetroffen.

De kritieke kwetsbaarheid in verschillende Zyxel-netwerkdevices, CVE-2023-28771 is sinds eind april bekend en gepatcht. Hierdoor kan de standaardconfiguratie worden misbruikt voor het uitvoeren van niet-geautoriseerde remote code execution door een speciaal aangepast IKEv2-pakket naar de UDP-poort 500 te versturen.

De kwetsbaarheid is aanwezig in de Zyxel-modellen ATP – ZLD met firmwareversies V4.60 t/m V5.35, USG FLEX – ZLD  met firmwareversies V4.60 t/m V5.35, VPN – ZLD met firmwareversies V4.60 t/m V5.35 en ZyWALL/USG – ZLD met firmwareversies V4.60 t/m V4.73.

Actief misbruik

Naar nu blijkt worden de kwetsbaarheid actief uitgebuit. Zo zou onder meer de kwetsbaarheid door een op Mirai lijkend botnet worden misbruikt, stelt Shadowserver. Ook de Amerikaanse cyberwaakhond CISA en securityspecialist Rapid7 bevestigen het actieve misbruik.

Geadviseerd wordt zo snel mogelijk de patches door te voeren.

Nieuwe kwetsbaarheid

Verder ontdekte securityspecialist Sternum Security zeer recent dat ook Zyxel NAS-devices een kritieke kwetsbaarheid hebben. Hierbij gaat het om de op Linux draaiende Zyxel NAS326, NAS540 en NAS542 storage devices met firmwareversie 5.21.

Hiervoor is een update voor de interne klok in de devices te manipuleren. Op deze manier is het mogelijk dat een geautoriseerde eindgebruiker een willekeurig commando met root-privileges op het device kan uitvoeren. Hackers die over de juiste authenticatie beschikken, kunnen dit bijvoorbeeld gebruiken voor het injecteren van malware op afstand.

Ook hier is een patch beschikbaar en worden gebruikers aangemoedigd deze zo snel mogelijk te installeren.

Lees ook: Rapid7 ontdekt kritieke kwetsbaarheid in Zyxel firewalls