PT-2022-3363 · Zyxel · Zyxel Usg Flex Series+3
Publicado
2022-05-24
·
Atualizado
2022-06-06
·
CVE-2022-0910
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:C/A:N |
Nome do software vulnerável e versões afetadas
Versões de firmware da série ZyXEL USG/ZyWALL de 4.32 a 4.71
Versões de firmware da série ZyXEL USG FLEX de 4.50 a 5.21
Versões de firmware da série ZyXEL ATP de 4.32 a 5.21
Versões de firmware da série ZyXEL VPN de 4.32 a 5.21
Descrição
A vulnerabilidade está relacionada a uma redução da autenticação de dois fatores para a autenticação de um fator no programa CGI do software de dispositivos de rede da ZyXEL. Isso poderia permitir que um invasor autenticado contornasse a segunda fase de autenticação e se conectasse ao servidor VPN IPsec, mesmo que a autenticação de dois fatores (2FA) estivesse habilitada. O problema está associado a falhas no procedimento de autenticação.
Recomendações
Para as versões de firmware da série ZyXEL USG/ZyWALL 4.32 a 4.71, atualize para uma versão fora desse intervalo para mitigar o risco.
Para as versões de firmware da série ZyXEL USG FLEX 4.50 a 5.21, atualize para uma versão fora desse intervalo para mitigar o risco.
Para as versões de firmware da série ZyXEL ATP de 4.32 a 5.21, atualize para uma versão fora desse intervalo para mitigar o risco.
Para as versões de firmware da série ZyXEL VPN de 4.32 a 5.21, atualize para uma versão fora desse intervalo para mitigar o risco.
Como solução temporária, considere desativar a funcionalidade de ignorar a autenticação de dois fatores até que um patch esteja disponível. Restrinja o acesso ao servidor VPN IPsec para minimizar o risco de exploração. Evite usar o programa CGI vulnerável na versão de firmware afetada
Correção
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Zyxel Atp Series
Zyxel Usg Flex Series
Zyxel Usg/Zywall Series
Zyxel Vpn Series