【误差通告】Zyxel ZLD防火墙路径遍历误差(CVE-2024-11667)

宣布时间 2024-11-29

、误差概述

误差名称

Zyxel ZLD防火墙路径遍历误差

CVE   ID

CVE-2024-11667

误差类型

目录遍历

发明时间

2024-11-29

误差评分

7.5

误差品级

高危

攻击向量

网络

所需权限

使用难度

用户交互

PoC/EXP

果真

在野使用

已发明

 

合勤科技(ZyXEL)是国际著名的网络宽带系统及解决计划供应商。。ZLD(Zyxel Linux Distribution)是 Zyxel 的防火墙操作系统, ,, , , ,专为其下一代防火墙 (NGFW) 和统一威胁治理 (UTM) 装备设计, ,, , , ,支持高级的网络清静功效、VPN 治理、多 WAN 和负载平衡等功效。。Zyxel ATP系列、USG FLEX 系列、USG FLEX 50(W) 系列和 USG20(W)-VPN 系列防火墙产品都使用了基于Zyxel ZLD的防火墙固件。。

2024年1129日, ,, , , ,凯旋国际游戏集团VSRC监测到Zyxel宣布清静通告, ,, , , ,攻击者正在起劲使用Zyxel ZLD防火墙中的一个路径遍历误差(CVE-2024-11667), ,, , , ,该误差的CVSS评分为7.5。。

Zyxel ZLD防火墙固件版本5.00 - 5.38的Web 治理界面中保存目录遍历误差, ,, , , ,未经身份验证的远程攻击者可通过恶意设计的URL来会见系统的文件目录, ,, , , ,从而下载或上传文件, ,, , , ,乐成使用该误差可能导致未授权会见敏感文件(如系统设置信息或用户凭证), ,, , , ,造成敏感信息泄露, ,, , , ,从而可能导致进一步的恶意活动, ,, , , ,例如建设恶意VPN 毗连和修改防火墙清静战略。。


二、影响规模

Zyxel ATP系列固件版本:V5.00 - V5.38

Zyxel USG FLEX系列固件版本:V5.00 - V5.38

Zyxel USG FLEX 50(W)系列固件版本:V5.10 - V5.38

Zyxel USG20(W)-VPN系列固件版本:V5.10 - V5.38

 

清静步伐

3.1 升级版本

现在该误差已经修复, ,, , , ,受影响用户可Zyxel ZLD防火墙固件版本升级到5.39或更高版本。。

下载链接:

https://www.zyxel.com/global/en

3.2 暂时步伐

1.将防火墙升级至5.39或更高固件版本。。

2.更改所有用户帐户的密码(尤其是治理员密码)以避免凭证泄露。。

3.增强网络监控以检测任何异常唬活动。。

4. 禁用远程会见, ,, , , ,若是无法连忙应用更新, ,, , , ,请暂时禁用远程会见功效(如远程治理和SSL VPN), ,, , , ,直到固件修补完成。。

5.按期数据备份, ,, , , ,维护要害数据的离线备份, ,, , , ,以确保在爆发意外事务时恢复营业一连性。。

6. 审查最佳实践, ,, , , ,可参考:

https://community.zyxel.com/en/discussion/10920/best-practices-to-secure-a-distributed-network-infrastructure/p1?new=1

3.3 通用建议

l按期更新系统补丁, ,, , , ,镌汰系统误差, ,, , , ,提升效劳器的清静性。。

l增强系统和网络的会见控制, ,, , , ,修改防火墙战略, ,, , , ,关闭非须要的应用端口或效劳, ,, , , ,镌汰将危险效劳(如SSH、RDP等)袒露到公网, ,, , , ,镌汰攻击面。。

l使用企业级清静产品, ,, , , ,提升企业的网络清静性能。。

l增强系统用户和权限治理, ,, , , ,启用多因素认证机制和最小权限原则, ,, , , ,用户和软件权限应坚持在最低限度。。

l启用强密码战略并设置为按期修改。。

3.4 参考链接

https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-protecting-against-recent-firewall-threats-11-27-2024

https://nvd.nist.gov/vuln/detail/CVE-2024-11667

https://support.zyxel.eu/hc/en-us/articles/21878875707410-Zyxel-USG-FLEX-and-ATP-series-Upgrading-your-device-and-ALL-credentials-to-avoid-hackers-attacks#h_01J9RQNR0WMDY6W4B00BN32VSC

 

四、版本信息

版本

日期

备注

V1.0

2024-11-29

首次宣布

 


附录

5.1 凯旋国际游戏简介

凯旋国际游戏建设于1996年, ,, , , ,是由留美博士严望佳女士建设的、拥有完全自主知识产权的信息清静高科技企业。。是海内最具实力的信息清静产品、清静效劳解决计划的领航企业之一。。

公司总部位于北京市中关村软件园凯旋国际游戏大厦, ,, , , ,公司员工6000余人, ,, , , ,研发团队1200余人, 手艺效劳团队1300余人。。在天下各省、市、自治区设立分支机构六十多个, ,, , , ,拥有笼罩天下的销售系统、渠道系统和手艺支持系统。。公司于2010年6月23日在深圳中小板挂牌上市。。(股票代码:002439)

多年来, ,, , , ,凯旋国际游戏致力于提供具有国际竞争力的自主立异的清静产品和最佳实践效劳, ,, , , ,资助客户周全提升其IT基础设施的清静性和生产效能, ,, , , ,为打造和提升国际化的民族信息清静工业领军品牌而不懈起劲。。

5.2 关于凯旋国际游戏

凯旋国际游戏清静应急响应中心已宣布1000多个误差通告危害预警, ,, , , ,我们将一连跟踪全球最新的网络清静事务和误差, ,, , , ,企业的信息清静保驾护航。。

关注我们:

image.png