Zyxel防火墙能否顺利解决安全漏洞

就在近日，Zyxel 已经着手解决了影响 Zyxel防火墙设备的严重安全漏洞，使该漏洞未经身份验证通过的远程攻击者能够获得任意代码执行权。

该公司在周四发布的一份公告中表示:网络安全公司 Rapid7于 2022 年 4 月 13 日发现并报告了该漏洞，该公司表示，该漏洞可能允许远程未经身份验证的对手以“无人”用户身份在受影响的设备上执行代码。“某些防火墙版本的 CGI 程序中输入的命令注入漏洞可能会允许攻击者修改特定的文件，然后在易受攻击的设备上执行一些操作系统命令等等” 

该漏洞影响以下产品，补丁发布在 ZLD V5.30 版本中

跟踪为CVE-2022-30525（CVSS 评分：9.8），

USG FLEX 50(W) / USG20(W)-VPN

USG FLEX 100(W)、200、500、700

ATP系列，和VPN系列

该公司的Rapid 7 指出，至少有 16,213 台的设备让容易受攻击的 Zyxel暴露在互联网上，这会让其成为威胁并使参与者进行潜在利用并尝试的有利可图的攻击媒介。

该网络安全公司还指出表明，Zyxel 在于2022 年 4 月 28 日默默地发布了解决该问题的修复程序，让该漏洞得到了修复，但没有发布与之相关的常见漏洞和披露 ( CVE ) 标识符或安全公告。Zyxel 在其警报中将此归咎于“披露协调过程中的沟通不畅”。

在该公告发布之际，Zyxel 在其 VMG3312 中解决了三个不同的问题，包括了命令注入 ( CVE-2022-26413 )、缓冲区溢出 ( CVE-2022-26414 ) 和本地权限提升 ( CVE-2022-0556 ) 漏洞-T20A 无线路由器和 AP 配置器这些问题，可能会导致任意代码的执行。

我们都应该明白网络安全隐患无所不在而“无声的漏洞修补往往只会帮助积极的攻击者，而让防御者对新发现的问题的真正风险一无所知。”