Zyxel avertit ses clients de deux vulnérabilités de gravité critique dans plusieurs de ses produits de pare-feu et VPN que les attaquants pourraient exploiter sans authentification.
Les deux problèmes de sécurité sont des dépassements de mémoire tampon et pourraient permettre un déni de service (DoS) et l’exécution de code à distance sur des appareils vulnérables.
« Zyxel a publié des correctifs pour les pare-feu affectés par plusieurs vulnérabilités de débordement de la mémoire tampon », déclare le fournisseur dans un avis de sécurité. « Il est conseillé aux utilisateurs de les installer pour une protection optimale », ajoute la société.
Les problèmes de dépassement de mémoire tampon permettent la manipulation de la mémoire, permettant aux attaquants d’écrire des données au-delà de la section allouée. Ils entraînent généralement des plantages du système, mais dans certains cas, une exploitation réussie peut permettre l’exécution de code sur l’appareil.
Le dernier correctif de Zyxel résout les problèmes suivants :
- CVE-2023-33009 : une vulnérabilité de dépassement de mémoire tampon dans la fonction de notification de certains produits Zyxel, permettant à un attaquant non authentifié d’exécuter du code à distance ou d’imposer des conditions DoS. (score de gravité critique de 9,8)
- CVE-2023-33010 : Une vulnérabilité de dépassement de mémoire tampon dans la fonction de traitement d’ID de certains produits Zyxel, permettant à un attaquant non authentifié d’exécuter du code à distance ou d’imposer des conditions DoS. (score de gravité critique de 9,8)
La société affirme que les appareils vulnérables exécutent le micrologiciel suivant :
- Versions du firmware Zyxel ATP ZLD V4.32 à V5.36 Patch 1 (corrigé dans ZLD V5.36 Patch 2)
- Versions du firmware Zyxel USG FLEX ZLD V4.50 à V5.36 Patch 1 (corrigé dans ZLD V5.36 Patch 2)
- Versions du firmware Zyxel USG FLEX50(W) / USG20(W)-VPN ZLD V4.25 à V5.36 Patch 1 (corrigé dans ZLD V5.36 Patch 2)
- Versions du firmware Zyxel VPN ZLD V4.30 à V5.36 Patch 1 (corrigé dans ZLD V5.36 Patch 2)
- Versions du firmware Zyxel ZyWALL/USG ZLD V4.25 à V4.73 Patch 1 (corrigé dans ZLD V4.73 Patch 2)
Le fournisseur recommande aux utilisateurs des produits concernés d’appliquer les dernières mises à jour de sécurité dès que possible pour éliminer le risque que des pirates exploitent les deux failles.
Les appareils exécutant les versions vulnérables ci-dessus sont utilisés par les petites et moyennes entreprises pour protéger leur réseau et permettre un accès réseau sécurisé (VPN) aux travailleurs distants ou à domicile.
Les acteurs de la menace surveillent attentivement les failles critiques qui affectent ces appareils, car elles pourraient faciliter un accès facile aux réseaux d’entreprise.
La semaine dernière, le chercheur en cybersécurité Kevin Beaumont a signalé qu’une faille d’injection de commande que Zyxel a corrigée en avril est activement exploitée et qu’elle affecte les mêmes pare-feu et produits VPN que cette fois.
L’année dernière, la CISA a publié un avertissement concernant les pirates exploitant une faille d’exécution de code à distance dans le pare-feu et les périphériques VPN Zyxel, exhortant les administrateurs système à appliquer les correctifs du micrologiciel dès que possible.