Zyxel informuje o luce umożliwiającej zdalne wykonanie kodu w produktach NAS i w zaporach zabezpieczających
W urządzeniach Zyxel NAS (Network Attached Storage) oraz w zaporach zabezpieczających została wykryta luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu. Użytkownikom zaleca się zainstalowanie poprawek lub natychmiastowe obejście tego problemu1 by zapewnić optymalną ochronę.
Czym jest luka w zabezpieczeniach?
Luka umożliwiająca zdalne wykonanie kodu2 została wykryta w sekcji oprogramowania weblogin.cgi, które jest wykorzystywane przez urządzenia Zyxel NAS i zapory zabezpieczające. Brak uwierzytelnienia dla programu może umożliwić atakującym zdalne wykonanie kodu za pomocą implementacji poleceń systemu operacyjnego.
Jakie produkty są zagrożone i co należy zrobić?
Po dokładnym zbadaniu całej linii produktów potwierdzamy, że luka dotyczy poniższych urządzeń z określonymi wersjami oprogramowania:
- Produkty NAS działające z oprogramowaniem 5.21 lub wcześniejszym.
- Zapory sieciowe UTM, ATP i VPN działające z oprogramowaniem ZLD V4.35 Patch 0 oraz ZLD V4.35 Patch 2
Urządzenia, które posiadają wcześniejsze wersje wydane przed wersją ZLD V4.35 Patch 0, nie są zagrożone.
Poniższa tabela zawiera informacje o zidentyfikowanych podatnych produktach, które objęte są gwarancją oraz wsparciem. Aby uzyskać optymalną ochronę, w pierwszym kroku zalecamy użytkownikom zainstalowanie poprawek, a następnie standardowych aktualizacji, gdy tylko będą dostępne.
| NAS326 | poprawka | Marzec 2020. Firmware V5.21(AAZF.7)C0 |
| NAS520 | poprawka | Marzec 2020. Firmware V5.21(AASZ.3)C0 |
| NAS540 | poprawka | Marzec 2020. Firmware V5.21(AATB.4)C0 |
| NAS542 | poprawka | Marzec 2020. Firmware V5.21(ABAG.4)C0 |
| ATP100 | poprawka | Marzec 2020. Firmware V4.35(ABPS.3)C0 |
| ATP200 | poprawka | Marzec 2020. Firmware V4.35(ABFW.3)C0 |
| ATP500 | poprawka | Marzec 2020. Firmware V4.35(ABFU.3)C0 |
| ATP800 | poprawka | Marzec 2020. Firmware V4.35(ABIQ.3)C0 |
| USG20-VPN | poprawka | Marzec 2020. Firmware V4.35(ABAQ.3)C0 |
| USG20W-VPN | poprawka | Marzec 2020. Firmware V4.35(ABAR.3)C0 |
| USG40 | poprawka | Marzec 2020. Firmware V4.35(AALA.3)C0 |
| USG40W | poprawka | Marzec 2020. Firmware V4.35(AALB.3)C0 |
| USG60 | poprawka | Marzec 2020. Firmware V4.35(AAKY.3)C0 |
| USG60W | poprawka | Marzec 2020. Firmware V4.35(AAKZ.3)C0 |
| USG110 | poprawka | Marzec 2020. Firmware V4.35(AAPH.3)C0 |
| USG210 | poprawka | Marzec 2020. Firmware V4.35(AAPI.3)C0 |
| USG310 | poprawka | Marzec 2020. Firmware V4.35(AAPJ.3)C0 |
| USG1100 | poprawka | Marzec 2020. Firmware V4.35(AAPK.3)C0 |
| USG1900 | poprawka | Marzec 2020. Firmware V4.35(AAPL.3)C0 |
| USG2200 | poprawka | Marzec 2020. Firmware V4.35(ABAE.3)C0 |
| VPN50 | poprawka | Marzec 2020. Firmware V4.35(ABHL.3)C0 |
| VPN100 | poprawka | Marzec 2020. Firmware V4.35(ABFV.3)C0 |
| VPN300 | poprawka | Marzec 2020. Firmware V4.35(ABFC.3)C0 |
| VPN1000 | poprawka | Marzec 2020. Firmware V4.35(ABIP.3)C0 |
| ZyWALL110 | poprawka | Marzec 2020. Firmware V4.35(AAAA.3)C0 |
| ZyWALL310 | poprawka | Marzec 2020. Firmware V4.35(AAAB.3)C0 |
| ZyWALL1100 | poprawka | Marzec 2020. Firmware V4.35(AAAC.3)C0 |
Uwaga: Jeśli masz jakiekolwiek pytania dotyczące instalacji poprawek lub standardowych wersji oprogramowania odwiedź nasze forum: https://homeforum.zyxel.com/, dla produktów NAS lub dla produktów zabezpieczających: https://businessforum.zyxel.com/categories/security.
Dla produktów NAS, których dotyczy problem, a które od 2016 roku nie są już objęte wsparciem, aktualizacje oprogramowania nie są już dostępne. Zalecamy, aby w celu usunięcia luki w zabezpieczeniach użytkownicy postępowali zgodnie z procedurą obejścia opisaną poniżej.
Modele z luką bez wsparcia - procedura obejścia
NSA210, NSA220, NSA220+, NSA221, NSA310, NSA310S, NSA320, NSA320S, NSA325 and NSA325v2
Nie udostępniaj żadnych usług bezpośrednio na publicznym adresie IP. Jeśli to możliwe, połącz urządzenie z routerem zabezpieczającym lub zaporą sieciową.
Masz pytanie?
Aby uzyskać pomoc lub dodatkowe informacje skontaktuj się z lokalnym serwisem. Jeśli znalazłeś lukę w zabezpieczeniach, wspólnie rozwiążemy ten problem – prosimy o kontakt na adres mailowy security@zyxel.com.tw. Odpowiemy tak szybko, jak to możliwe.
Podziękowania
Dziękujemy Brianowi Krebsowi, niezależnemu dziennikarzowi śledczemu, za zgłoszenie nam tego problemu oraz CERT/CC za koordynacje procesu informowania o zaistniałej sytuacji.
1 Obejście dotyczy starszych urządzeń (wspomniane w dalszej części artykułu) do których nie będzie już poprawek. Obejście polega na ochronie zagrożonego urządzenia poprzez jego uruchomienie za routerem NAT lub firewallem.
2 ang. remote procedure call, RPC. Mechanizm programistyczny umożliwiający klientowi zdalne uruchamianie poleceń, procedur lub kodu na serwerze. W założeniu umożliwia sprawne wykonywanie przez serwer usług na rzecz klienta, ale może stanowić zagrożenie w przypadku luki bezpieczeństwa, gdyż potencjalnie umożliwia atakującemu wykonanie dowolnych poleceń systemu operacyjnego.
Zyxel Communications
Zyxel Communications już od prawie 30 lat łączy ludzi koncentrując się na wdrażaniu innowacyjnych rozwiązań dla swoich klientów. Nasze możliwości adaptacji oraz innowacyjne technologie sieciowe czynią nas liderami komunikacji dla firm telekomunikacyjnych, dostawców usług, klientów biznesowych i użytkowników domowych.
- 1500+ współpracowników na całym świecie
- 100 milionów urządzeń łączących na globalną skalę
- Ponad 700,000 firm pracujących lepiej, dzięki produktom marki Zyxel
- Obecność na 150 światowych rynkach
Obecnie, Zyxel Communications tworząc sieci przyszłości, uwalnia potencjał i spełnia wymagania nowoczesnych miejsc pracy – wspierając ludzi w biurze, codziennym życiu i w czasie wolnym.
ZYXEL – twój sieciowy sojusznik
Dołącz do nas na Facebooku i LinkedIn!
drukuj