[English]Der Anbieter Zyxel hat Sicherheitsupdates zum Schließen einer kritischen Schwachstelle in mehreren seiner Business-Router veröffentlicht. Diese mit einem CVSS v3-Score von 9,8 bewertete Schwachstellen ermöglichen nicht authentifizierten Angreifern möglicherweise die Einschleusung von Betriebssystembefehlen. Es stehen entsprechende Updates zum Schließen der Schwachstellen zur Verfügung.
Ein Blog-Leser hat mich darauf hingewiesen (danke dafür), dass Zyxel neue Sicherheitshinweise in seinem globalen Support Center veröffentlicht hat.
- Zyxel security advisory for OS command injection vulnerability in APs and security router devices
- Zyxel security advisory for multiple vulnerabilities in firewalls
- Zyxel security advisory for buffer overflow vulnerability in some 5G NR CPE, DSL/Ethernet CPE, fiber ONT, WiFi extender, and security router devices
Die Schwachstelle CVE-2024-7261 besteht durch unsachgemäße Neutralisierung spezieller Elemente im Parameter „host" im CGI-Programm einiger AP- und Security-Router-Versionen. Dies könnte es einem nicht authentifizierten Angreifer ermöglichen, Betriebssystembefehle auszuführen, indem er ein manipuliertes Cookie an ein verwundbares Gerät sendet.
Der Schwachstelle CVE-2024-7261 wurde ein CVSS v3-Score von 9,8 ("kritisch") zugewiesen und Zyxel hat entsprechende Firmware-Updates zum Schließen der Schwachstellen veröffentlicht. Details zu betroffenen Geräten und den restlichen Schwachstellen sowie eine Liste der verfügbaren Patches findet sich in den oben verlinkten security advisories.
Ergänzung: Es sieht so aus, als ob es erfolgreiche Angriffe auf Zyxel-Nutzer gegeben hat, siehe meinen Blog-Beitrag hier.
MVP: 2013 – 2016
Alle Flex und ATP-Boxen gepatched, keine Probleme.