发布编号：TACERT-ANA-2023050401052323

发布时间：2023-05-04 13:53:23

事故类型：ANA-漏洞预警

发现时间：2023-05-04 11:55:23

影响等级：低

 

[主旨说明:]

【漏洞预警】Zyxel防火墙存在安全漏洞CVE-2023-27991与CVE-2023-28771，允许攻击者远端执行任意程式码，请尽速确认并进行更新！

 

[内容说明:]

转发 国家资安资讯分享与分析中心 NISAC-ANA-202305-0115

研究人员发现，Zyxel防火墙存在2个高风险安全漏洞。 CVE-2023-27991为命令注入漏洞，允许已通过身分鑑别之远端攻击者，透过命令列接口，执行作业系统指令，达到任意执行程式码情况。 CVE-2023-28771为命令注入漏洞，允许未经身分鑑别之远端攻击者，透过发送伪造网络封包，执行作业系统指令，达到任意执行程式码情况。

 

[影响平台:]

一、CVE-2023-27991

    1.ATP系列产品之韧体版本ZLD V4.32至V5.35

    2.USG-FLEX系列产品之韧体版本ZLD V4.50至V5.35

    3.USG FLEX 50(W)/USG20(W)-VPN系列产品之韧体版本 ZLD V4.16至V5.35

    4.VPN系列产品之韧体版本ZLD V4.30至V5.35

二、CVE-2023-28771

    1.ATP系列产品之韧体版本ZLD V4.60至V5.35

    2.USG-FLEX系列产品之韧体版本ZLD V4.60至V5.35

    3.VPN系列产品之韧体版本ZLD V4.60至V5.35

    4.ZyWALL/USG系列产品之韧体版本ZLD V4.60至V4.73

 

[建议措施:]

官方已针对漏洞释出修复更新，请更新至以下版本：

    1.ATP、USG-FLEX、USG FLEX 50(W)、USG20(W)-VPN及VPN等系列产品之韧体版本请更新至ZLD V5.36(含)以上版本。

    2.ZyWALL/USG系列产品之韧体版本请更新至ZLD V4.73 Patch 1(含)以上版本。

 

[参考资料:]

1. Zyxel security advisory for OS command injection vulnerability of firewalls

2. https://nvd.nist.gov/vuln/detail/CVE-2023-27991

3. https://nvd.nist.gov/vuln/detail/CVE-2023-28771

4. Zyxel Firewall Devices Vulnerable to Remote Code Execution Attacks — Patch Now

---

(此通报仅在于告知相关资讯，并非为资安事件)，如果您对此通报的内容有疑问或有关于此事件的建议，欢迎与我们连络。

教育机构资安通报应变小组

网址：https://info.cert.tanet.edu.tw/

专线电话：07-5250211

网络电话：98400000

E-Mail：service@cert.tanet.edu.tw