Zyxel выпустил обновления программного обеспечения для устранения двух критических уязвимостей безопасности, которые могут быть использованы злоумышленниками для удаленного выполнения кода. Эти уязвимости, CVE-2023-33009 и CVE-2023-33010, являются уязвимостями переполнения буфера и имеют рейтинг CVSS 9.8 из 10. CVE-2023-33009 влияет на функцию уведомления, в то время как CVE-2023-33010 влияет на функцию обработки ID. Оба могут привести к состоянию отказа в обслуживании (DoS) и удаленному выполнению кода. Под угрозой находятся устройства ATP, USG FLEX, USG FLEX50 (W) / USG20 (W)-VPN, VPN и ZyWALL / USG. Исследователи из TRAPA Security и STAR Labs SG были признаны за обнаружение и сообщение об уязвимостях.
Это предупреждение поступило менее чем через месяц после того, как Zyxel отправил исправления для другой критической уязвимости безопасности в своих устройствах брандмауэра. Эта уязвимость, отслеживаемая как CVE-2023-28771, также была признана TRAPA Security и была связана с неправильной обработкой сообщений об ошибках. С тех пор она активно эксплуатировалась угрожающими актерами, связанными с ботнетом Mirai. Для защиты от этих проблем Zyxel выпустил обновления программного обеспечения для обеспечения безопасности своих продуктов.
Source: Hackernews
Чтобы смягчить эти потенциальные угрозы, важно внедрить дополнительные меры кибербезопасности с помощью надежного партнера, такого как INFRA www.infrascan.net, или вы можете попробовать сделать это самостоятельно, используя check.website.