Zyxel heeft software-updates uitgebracht om een kritieke beveiligingsfout te verhelpen die van invloed was op bepaalde versies van toegangspunten (AP’s) en beveiligingsrouters en die kon leiden tot de uitvoering van ongeautoriseerde opdrachten.
De kwetsbaarheid staat bekend als CVE-2024-7261 (CVSS-score: 9,8) en wordt beschreven als een geval van command injection in het besturingssysteem (OS).
“De onjuiste neutralisatie van speciale elementen in de parameter ‘host’ in het CGI-programma van sommige AP- en beveiligingsrouterversies kan een niet-geverifieerde aanvaller in staat stellen om OS-opdrachten uit te voeren door een gefabriceerde cookie naar een kwetsbaar apparaat te sturen”, aldus Zyxel in een waarschuwing.
Chengchao Ai van het ROIS-team van de Universiteit van Fuzhou wordt gecrediteerd voor het ontdekken en melden van het lek.
Zyxel heeft ook updates uitgebracht voor zeven kwetsbaarheden in zijn routers en firewalls, waaronder enkele die een hoge ernst hebben en die kunnen leiden tot de uitvoering van OS-opdrachten, een denial-of-service (DoS) of toegang tot browsergebaseerde informatie.
- CVE-2024-5412 (CVSS-score: 7,5) – Een bufferoverloopkwetsbaarheid in de bibliotheek “libclinkc” waardoor een niet-geverifieerde aanvaller DoS-omstandigheden kan veroorzaken door middel van een speciaal vervaardigde HTTP-aanvraag
- CVE-2024-6343 (CVSS-score: 4,9) – Een bufferoverloopkwetsbaarheid die een geauthenticeerde aanvaller met beheerdersrechten in staat zou kunnen stellen DoS-omstandigheden te activeren door middel van een speciaal vervaardigde HTTP-aanvraag
- CVE-2024-7203 (CVSS-score: 7,2) – Een kwetsbaarheid voor opdrachtinjectie na authenticatie, waardoor een geverifieerde aanvaller met beheerdersrechten OS-opdrachten kan uitvoeren
- CVE-2024-42057 (CVSS-score: 8,1) – Een kwetsbaarheid voor opdrachtinjectie in de IPSec VPN-functie waardoor een niet-geverifieerde aanvaller bepaalde OS-opdrachten kan uitvoeren
- CVE-2024-42058 (CVSS-score: 7,5) – Een kwetsbaarheid voor het derefereren van null-pointers, waardoor een niet-geverifieerde aanvaller DoS-omstandigheden kan veroorzaken door gemanipuleerde pakketten te verzenden
- CVE-2024-42059 (CVSS-score: 7,2) – Een kwetsbaarheid in de post-authenticatie-opdrachtinjectie die een geverifieerde aanvaller met beheerdersrechten in staat zou kunnen stellen om bepaalde OS-opdrachten uit te voeren door een gefabriceerd gecomprimeerd taalbestand via FTP te uploaden
- CVE-2024-42060 (CVSS-score: 7,2) – Een kwetsbaarheid voor post-authenticatie-opdrachtinjectie in sommige firewallversies kan een geverifieerde aanvaller met beheerdersrechten in staat stellen om bepaalde OS-opdrachten uit te voeren
- CVE-2024-42061 (CVSS-score: 6,1) – Een weerspiegelde cross-site scripting (XSS)-kwetsbaarheid in het CGI-programma “dynamic_script.cgi” waarmee een aanvaller een gebruiker ertoe kan verleiden een gemanipuleerde URL met de XSS-payload te bezoeken en browsergebaseerde informatie te verkrijgen
De ontwikkeling komt nadat D-Link heeft aangekondigd dat vier beveiligingslekken in zijn DIR-846-router, waaronder twee kritieke kwetsbaarheden met betrekking tot de uitvoering van opdrachten op afstand (CVE-2024-44342, CVSS-score: 9,8), niet worden gepatcht omdat de producten in februari 2020 de end-of-life (EoL)-status hebben bereikt. Klanten worden dringend verzocht deze te vervangen door ondersteunde versies.