Эксперт Positive Technologies помог устранить уязвимость в коммутаторах Zyxel

Найденная и устраненная уязвимость получила оценку 8,2 балла по шкале CVSSv3, что соответствует высокому уровню риска

Найденная экспертом Positive Technologies Никитой Абрамовым уязвимость (CVE-2022-43393) затрагивала десятки моделей коммутаторов Zyxel и представляла риск для бизнес-процессов во множестве организаций. В настоящее время производитель устранил ошибку, выпустив патчи для всех коммутаторов, в которых она была выявлена.

При помощи отправки специально сформированного HTTP-запроса злоумышленник мог удаленно изменить содержимое памяти устройства и вызвать отказ коммутатора в обслуживании.

Часть потенциально уязвимых коммутаторов может использоваться в больших компаниях со сложной сетевой инфраструктурой и конвергентных сетях¹, ряд устройств применяется и в относительно небольших организациях, которым требуются централизованное управление и настройка гибких сценариев.

Всего данной ошибке оказались подвержены 47 различных моделей. На момент выхода уведомления уязвимые коммутаторы Zyxel были с помощью поисковых систем обнаружены на Тайване — 12,8%, во Франции — 11,9%, в Таиланде — 9,1%, Южной Корее — 7,7%, Италии — 7,6%, США — 5,5%, России — 0,5%.

 

По словам эксперта, появление таких уязвимостей вызвано, как правило, невнимательностью при написании кода.

В соответствии с политикой ответственного разглашения компания Zyxel была уведомлена об уязвимости и устранила ее. Пользователям необходимо установить прошивку, указанную в уведомлении безопасности.

1. Конвергентная сетевая инфраструктура дает возможность объединить сетевые ресурсы, серверы и системы хранения данных, а также администрировать их как единую систему.