Программное обеспечение Zyxel CloudCNM SecuManager подвержено жестко заданным учетным данным и отсутствующим уязвимостям аутентификации. В настоящее время мы работаем с нашим поставщиком, чтобы решить проблемы, и будем обращаться к отдельным клиентам напрямую, чтобы развернуть решение.
В чем уязвимость?
В Zyxel CloudCNM SecuManager были обнаружены многочисленные уязвимости, а именно:
- Жестко закодированные ключи сервера SSH
- Бэкдор аккаунты в MySQL
- Жестко закодированный сертификат и бэкдор-доступ в Ejabberd
- Открыть хранилище ZODB без аутентификации
- MyZyxel 'Cloud' Hardcoded Secret
- Твердо закодированные секреты, API
- Предопределенные пароли для учетных записей администратора
- Небезопасное управление над 'Cloud'
- xmppCnrSender.py инъекция escape-последовательности журнала
- xmppCnrSender.py без аутентификации и открытого текста
- Неправильные HTTP-запросы вызывают недопустимый доступ в Zope
- XSS в веб-интерфейсе
- Закрытый ключ SSH
- Бэкдор API
- Бэкдор управление доступом и RCE
- Предварительно авторизованный RCE с доступом с привязкой
Какие продукты уязвимы и что вы должны делать?
После тщательного расследования мы подтвердили, что уязвимости затрагивают только CloudCNM SecuManager, инструмент управления сетью, настроенный для конкретных потребностей клиентов. Другие продукты и услуги Zyxel НЕ подвержены уязвимостям rePorted.
CloudCNM SecuManager разрабатывается совместно со сторонним поставщиком. Zyxel предприняла немедленные действия, чтобы работать с поставщиком для решения проблем, что делает это нашим главным приоритетом. Мы свяжемся с отдельными клиентами, чтобы развернуть решение, как только оно станет доступным.
Есть вопрос или наводка?
Пожалуйста, свяжитесь с местным представителем службы для получения дополнительной информации или помощи. Если вы нашли уязвимость, мы хотим поработать с вами, чтобы исправить ее - свяжитесь с security@zyxel.com.tw и мы вернемся к вам.
Пожалуйста, проверьте наличие обновлений для этой проблемы:
https://www.zyxel.com/support/vulnerabilities-of-CloudCNM-SecuManager.shtml
ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ:
Уважаемый клиент, учтите, что мы используем машинный перевод для предоставления статей на вашем родном языке. Не весь текст может быть переведен точно. Если есть вопросы или несоответствия относительно точности информации в переведенной версии, просмотрите оригинальную статью здесь: Оригинальная версия
Комментарии
0 комментариев
Войдите в службу, чтобы оставить комментарий.