Une faille critique dans les pare-feu Zyxel autorise l’accès aux réseaux d’entreprise (CVE-2022-30525)

Une vulnérabilité critique affectant plusieurs modèles de firewalls Zyxel a été révélée publiquement, ainsi qu’un module Metasploit qui l’exploite.

Découvert par le chercheur de Rapid 7 Jake Baines et divulgué à Zyxel le 13 avril, il a été corrigé par la société avec des correctifs publiés le 28 avril, mais n’a pas été reconnu publiquement par la société via un CVE associé ou un avis de sécurité jusqu’à présent.

CVE-2022-30525 est une vulnérabilité qui peut être exploitée par des attaquants distants non authentifiés pour injecter des commandes dans le système d’exploitation via l’interface HTTP administrative des pare-feux vulnérables, leur permettant de modifier des fichiers spécifiques et d’exécuter des commandes du système d’exploitation.

« Si possible, activez les mises à jour automatiques du micrologiciel. Désactivez l’accès WAN à l’interface Web d’administration du système », a également conseillé Baines.

Baines a déploré que Zyxel ait corrigé cette vulnérabilité en silence, car cela « tend à n’aider que les attaquants actifs et laisse les défenseurs dans l’ignorance du véritable risque de problèmes nouvellement découverts ».

Zyxel dit que ce n’était pas exprès, mais en raison d’une « mauvaise communication pendant le processus de coordination de la divulgation ».

Partager cet article sur les médias sociaux :

Abonnez-vous à Notre Infolettre !

Restez au fait des risques de cybersécurité, de l’évolution des menaces et de l’actualité du secteur.

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

Dernières Nouvelles

Services en Vedette

Actualités Concernant la Cybersécurité

Qu’il s’agisse de cyberattaques majeures, de vulnérabilités critiques récemment découvertes ou de bonnes pratiques recommandées, lisez d’abord ici :

BOOK A MEETING

Provide your contact details

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

* Aucun fournisseur de courriel personnel permis (e.g: gmail.com, hotmail.com, etc.)

PLANIFIEZ UNE RENCONTRE

Saisissez vos coordonnées

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

* Pas de fournisseur de courrier électronique gratuit (par exemple : gmail.com, hotmail.com, etc.)

This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.