Wichtiger Hinweis: |
Zusammenfassung
Zyxel hat Patches veröffentlicht, die mehrere Sicherheitslücken in einigen Firewall- und Access Point (AP)-Versionen beheben. Benutzern wird empfohlen, die Patches zu installieren, um optimalen Schutz zu gewährleisten.
Um welche Sicherheitslücken handelt es sich?
CVE-2023-6397
Eine Null-Zeiger-Dereferenz-Schwachstelle in einigen Firewall-Versionen könnte es einem LAN-basierten Angreifer ermöglichen, Denial-of-Service-Bedingungen (DoS) zu verursachen, indem er eine manipulierte komprimierte RAR-Datei auf einen LAN-seitigen Host herunterlädt, wenn die Firewall die Funktion "Anti-Malware" aktiviert hat.
CVE-2023-6398
Eine Sicherheitsl�cke in der Datei-Upload-Bin�rdatei in einigen Firewall- und AP-Versionen könnte es einem authentifizierten Angreifer mit Administratorrechten ermöglichen, einige Betriebssystembefehle auf einem betroffenen Ger�t per FTP auszuf�hren.
CVE-2023-6399
Eine Format-String-Schwachstelle in einigen Firewall-Versionen könnte es einem authentifizierten IPSec-VPN-Benutzer ermöglichen, DoS-Bedingungen gegen den "device id"-Daemon auszulösen, indem er einen manipulierten Hostnamen an ein betroffenes Gerät sendet, wenn die Funktion "Device Insight" aktiviert ist.
CVE-2023-6764
Eine Format-String-Schwachstelle in einer Funktion der IPSec-VPN-Funktion in einigen Firewall-Versionen könnte es einem Angreifer ermöglichen, eine nicht autorisierte Remotecode-Ausführung zu erreichen, indem er eine Sequenz speziell gestalteter Nutzdaten sendet, die einen ungültigen Zeiger enthalten; ein solcher Angriff würde jedoch detaillierte Kenntnisse über das Speicherlayout und die Konfiguration eines betroffenen Geräts erfordern.
Welche Versionen sind anfällig - und was sollten Sie tun?
Nach einer gründlichen Untersuchung haben wir die anfälligen Produkte identifiziert, die sich noch im Support-Zeitraum für die Schwachstellen befinden, und Updates zur Behebung der Schwachstellen veröffentlicht, wie in den folgenden Tabellen dargestellt.
Tabelle 1. Von CVE-2023-6397, CVE-2023-6398, CVE-2023-6399 und CVE-2023-6764 betroffene Firewalls
Tabelle 1. Firewalls, die von CVE-2023-6397, CVE-2023-6398, CVE-2023-6399 und CVE-2023-6764 betroffen sind
| Firewall-Reihe | Betroffene Version | Verfügbarkeit des Patches | |||
|---|---|---|---|---|---|
| CVE-2023-6397 | CVE-2023-6398 | CVE-2023-6399 | CVE-2023-6764 | ||
| ATP | ZLD V4.32 bis V5.37 Korrektur 1 | ZLD V4.32 bis V5.37 Flecken 1 | ZLD V5.10 bis V5.37 Flecken 1 | ZLD V4.32 bis V5.37 Pflaster 1 | ZLD V5.37 Pflaster 2 |
| USG FLEX | ZLD V4.50 bis V5.37 Pflaster 1 | ZLD V4.50 bis V5.37 Patch 1 | ZLD V5.10 bis V5.37 Patch 1 | ZLD V4.50 bis V5.37 Pflaster 1 | ZLD V5.37 Pflaster 2 |
| USG FLEX 50(W)/USG20(W)-VPN | Nicht betroffen | ZLD V4.16 bis V5.37 Patch 1 | ZLD V5.10 bis V5.37 Patch 1 | ZLD V4.16 bis V5.37 Patch 1 | ZLD V5.37 Pflaster 2 |
| USG FLEX H | Nicht betroffen | uOS V1.10 bis V1.10 Patch 1 | uOS V1.10 bis V1.10 Patch 1 | Nicht betroffen | Hotfix ist verfügbar* Standard-Patch uOS V1.20 im April 2024 |
Tabelle 2. Von CVE-2023-6398 betroffene APs
| AP-Modell | Betroffene Version | Verfügbarkeit des Patches |
|---|---|---|
| NWA50AX | 6.29(ABYW.3) und früher | 6.29(ABYW.4) |
| NWA55AXE | 6.29(ABZL.3) und früher | 6.29(ABZL.4) |
| NWA90AX | 6.29(ACCV.3) und früher | 6.29(ACCV.4) |
| NWA110AX | 6.65(ABTG.1) und früher | 6.70(ABTG.2) |
| NWA210AX | 6.65(ABTD.1) und früher | 6.70(ABTD.2) |
| NWA220AX-6E | 6.65(ACCO.1) und früher | 6.70(ACCO.1) |
| NWA1123ACv3 | 6.65(ABVT.1) und früher | 6.70(ABVT.1) |
| WAC500 | 6.65(ABVS.1) und früher | 6.70(ABVS.1) |
| WAC500H | 6.65(ABWA.1) und früher | 6.70(ABWA.1) |
| WAX300H | 6.60(ACHF.1) und früher | 6.70(ACHF.1) |
| WAX510D | 6.65(ABTF.1) und früher | 6.70(ABTF.2) |
| WAX610D | 6.65(ABTE.1) und früher | 6.70(ABTE.2) |
| WAX620D-6E | 6.65(ACCN.1) und früher | 6.70(ACCN.1) |
| WAX630S | 6.65(ABZD.1) und früher | 6.70(ABZD.2) |
| WAX640S-6E | 6.65(ACCM.1) und früher | 6.70(ACCM.1) |
| WAX650S | 6.65(ABRM.1) und früher | 6.70(ABRM.2) |
| WAX655E | 6.65(ACDO.1) und früher | 6.70(ACDO.1) |
| WBE660S | 6.65(ACGG.1) und früher | 6.70(ACGG.2) |
| NWA50AX-PRO | 6.65(ACGE.1) und früher | Hotfix ist auf Anfrage erhältlich* Standard-Patch 6.80(ACGE.0) im Juli 2024 |
| NWA90AX-PRO | 6.65(ACGF.1) und früher | Hotfix ist auf Anfrage erhältlich* Standard-Patch 6.80(ACGF.0) im Juli 2024 |
*Bitte wenden Sie sich an Ihr lokales Zyxel-Supportteam, um die Datei zu erhalten.
Haben Sie eine Frage?
Bitte wenden Sie sich an Ihren lokalen Kundendienst oder besuchen Sie die Zyxel Community, um weitere Informationen oder Unterstützung zu erhalten.
Danksagung
Vielen Dank an Lays und atdog von TRAPA Security für die Meldung der Probleme an uns.
Revisionshistorie
2024-2-20: Erste Veröffentlichung
2024-2-21: Aktualisierung der Liste der betroffenen Modelle und der Patch-Verfügbarkeit