Le fabricant de matériel Zyxel a publié des correctifs pour une faille de sécurité hautement critique qui donne aux pirates malveillants la possibilité de prendre le contrôle d’une large gamme de pare-feu et de produits VPN que l’entreprise vend aux entreprises.
La faille est une vulnérabilité de contournement d’authentification qui découle d’un manque de mécanisme de contrôle d’accès approprié dans le CGI (interface de passerelle commune) des appareils concernés, a déclaré la société. Le contrôle d’accès fait référence à un ensemble de politiques qui s’appuient sur des mots de passe et d’autres formes d’authentification pour garantir que les ressources ou les données ne sont accessibles qu’aux personnes autorisées. La vulnérabilité est identifiée comme CVE-2022-0342.
“La faille pourrait permettre à un attaquant de contourner l’authentification et d’obtenir un accès administratif à l’appareil”, a déclaré Zyxel dans un avis. La cote de gravité est de 9,8 sur 10 possibles.
La vulnérabilité est présente dans les appareils suivants :
Série concernée | Version du micrologiciel concernée | Disponibilité des correctifs |
---|---|---|
USG/ZyWALL | ZLD V4.20 à ZLD V4.70 | ZLD V4.71 |
USG FLEX | ZLD V4.50 à ZLD V5.20 | ZLD V5.21 Patch 1 |
ATP | ZLD V4.32 à ZLD V5.20 | ZLD V5.21 Patch 1 |
VPN | ZLD V4.30 à ZLD V5.20 | ZLD V5.21 |
NS G | V1.20 à V1.33 Patch 4 |
|
L’avis intervient après que d’autres fabricants de matériel ont récemment signalé que leurs produits présentaient des vulnérabilités similaires qui sont activement exploitées dans la nature. Sophos, par exemple, a déclaré qu’une vulnérabilité de contournement d’authentification permettant l’exécution de code à distance a été récemment corrigée dans Sophos Firewall v18.5 MR3 (18.5.3) et versions antérieures. CVE-2022-1040 était déjà utilisé pour cibler des entreprises, principalement en Asie.
Trend Micro a également averti que les pirates exploitaient une vulnérabilité dans son Trend Micro Apex Central qui permettait de télécharger et d’exécuter des fichiers malveillants. La faille est suivie comme CVE-2022-26871.
Zyxel a attribué la découverte de CVE-2022-0342 à Alessandro Sgreccia de Tecnical Service SrL et à Roberto Garcia H et Victor Garcia R d’Innotec Security. Il n’y a aucun rapport connu sur les vulnérabilités activement exploitées.