The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить код без аутентификации"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить код без аутентификации"  +/
Сообщение от opennews (?), 13-Май-22, 13:42 
В устройствах Zyxel серий ATP, VPN и USG FLEX, предназначенных для организации работы  межсетевых экранов, IDS и VPN на предприятиях, выявлена критическая уязвимость (CVE-2022-30525), позволяющая внешнему атакующему без аутентификации выполнить код на устройстве с правами пользователя nobody. Для совершения атаки злоумышленник должен иметь возможность отправки на устройство запросов по протоколу HTTP/HTTPS. Компания Zyxel устранила уязвимость в обновлении прошивки ZLD 5.30. По данным сервиса Shodan в настоящее время в глобальной сети зафиксировано 16213 потенциально уязвимых устройств, принимающих запросы по HTTP/HTTPS...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=57183

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."  +3 +/
Сообщение от Stanislavvv (?), 13-Май-22, 13:42 
Помнится, лет 12 назад примерно так же получал шелл в первом кинетике.
Похоже, с тех пор ничего не изменилось...
Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."  +2 +/
Сообщение от Анонус (?), 13-Май-22, 14:02 
Сейчас вроде Кинетики делает отдельная команда в России.
Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."  +/
Сообщение от another_one (ok), 13-Май-22, 14:18 
Уже не команда, а вроде как отдельная независимая компания.
Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."  +2 +/
Сообщение от Атон (?), 13-Май-22, 15:13 
их и тогда делала отдельная русская команда. компания стартап.

просто они договорились что zyxel предоставляет свою логистику и производство, а взамен ставит свой логотип и гребет 95% прибыли от продаж. а компания kinetic разрабатывает железки с ПО для домашнего сегмента рынка, в котором у самого zyxel всегда был "провал".

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

26. "Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."  +/
Сообщение от Аноним (26), 14-Май-22, 00:06 
Конпания называется NDM Systems.
Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."  +/
Сообщение от Анонус (?), 14-Май-22, 16:02 
> их и тогда делала отдельная русская команда. компания стартап.
> просто они договорились что zyxel предоставляет свою логистику и производство, а взамен
> ставит свой логотип и гребет 95% прибыли от продаж. а компания
> kinetic разрабатывает железки с ПО для домашнего сегмента рынка, в котором
> у самого zyxel всегда был "провал".

О, спасибо. Таких подробностей не знал. Думал просто местный филиал разросся и получил независимость.

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

32. "Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."  +/
Сообщение от Zedemail (??), 14-Май-22, 16:26 
С ними не оч понятно. Штабквартира явно не в рф, да и недавно писали что програмеров из рф они вывозят.
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

35. "Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."  +/
Сообщение от fastpoke (?), 17-Май-22, 07:26 
Если ты продаешь не только в снг, то максимально логично держать юр лицо не тут,
Если ты хочешь работать, во время специального здеца, то так же логично вывозить персонал, чтобы иметь возможность работать дальше.  
Так делали и делают многие.
Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."  –2 +/
Сообщение от КО (?), 13-Май-22, 13:43 
Обычно такие компании пугалки рассказывают и втюхивают новое оборудование, подпинывая клиента.
Как и некоторые антивирусные.
Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."  +/
Сообщение от Аноним (3), 13-Май-22, 13:50 
Странно что кто-то считает что это не норма.
Ответить | Правка | Наверх | Cообщить модератору

4. Скрыто модератором  +1 +/
Сообщение от Аноним (3), 13-Май-22, 13:54 
Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."  +1 +/
Сообщение от iPony129412 (?), 13-Май-22, 14:11 
Шо, опять?!
Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."  +/
Сообщение от Аноним (3), 13-Май-22, 15:16 
Это норма.
Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."  –1 +/
Сообщение от vitalif (ok), 13-Май-22, 14:19 
Говорили же вам, сносите штатное гуано сразу, ставьте openwrt
Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."  +/
Сообщение от Аноним (9), 13-Май-22, 14:56 
Что-то среди поддерживаемых моделей не нашёл этих ATP, VPN и USG FLEX
Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."  +/
Сообщение от Аноним (3), 13-Май-22, 15:16 
Там модели поддерживает по одному человеку. Соответственно придется кому-то, например тебе, заняться поддержкой для этих моделей.
Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."  +4 +/
Сообщение от Аноним (13), 13-Май-22, 16:25 
Стоит какой-то древний тплинк на стоковой прошивке, уже лет 15 пашет без единого замечания. Подключил и забыл. А если нет разницы, зачем платить больше?
Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."  –4 +/
Сообщение от ryoken (ok), 13-Май-22, 16:39 
>>  А если нет разницы, зачем платить больше?

Расширение предоставляемых устройством сервисов? Не, не слышал.

Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."  +4 +/
Сообщение от Аноним (21), 13-Май-22, 18:22 
Уязвимость as Service
Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."  +/
Сообщение от Аноним (9), 13-Май-22, 17:30 
И что, в ней за 15 лет не нашлось ни одной дырки?
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

18. "Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."  +5 +/
Сообщение от YetAnotherOnanym (ok), 13-Май-22, 17:40 
Написано же - ни единой замеченной владельцем.
Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."  +/
Сообщение от YetAnotherOnanym (ok), 13-Май-22, 17:39 
> при выполнение в системе команд при помощи вызова os.system

Ну да, вместо вызова утилиты подгрузить либу и дёрнуть функцию - это ж надо доки на API читать, это слишком сложно.

Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."  +1 +/
Сообщение от Аноним (22), 13-Май-22, 19:13 
>при помощи вызова os.system
>Проблема вызвана отсутствием должной чистки параметров запроса

Проблема вызвана тем, что дёргать system вообще должно быть запрещено, а не было, ибо макаки любят сортировать строки через system("sort") и пинговать через system("ping") устанавливать пакеты через system("pip").

Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."  +1 +/
Сообщение от Аноним (24), 13-Май-22, 23:17 
Ну конечно ты еще скажи что у них это случайно получилось. Спойлер: Уязвимость появилась не случайно.
Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."  +/
Сообщение от Адмирал Майкл Роджерс (?), 14-Май-22, 10:05 
Считаю необходимым заверить Вас, сэр, что все подобные уязвимости появляются в результате стечения обстоятельств, в котором существенную роль играет фактор случайности.
Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."  –2 +/
Сообщение от Аноним (25), 13-Май-22, 23:44 
Интересно, уже все кулхацкеры в комментариях к новости отметились?
Или ещё остались, кто не успел показать свой "глубочайший уровень"?

PS.
"Каждый мнит себя стратегом, видя бой со стороны" (с) Шота Руставели

Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."  +/
Сообщение от Аноним (27), 14-Май-22, 07:53 
А ты ведь реально считаешь что самый умный это ты. Но спешу тебя огорчить это не так.
Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."  +/
Сообщение от Аноним (25), 14-Май-22, 14:45 
Видимо, кому-то из кулхацкеров не понравилось, что их пересчитывают.
Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."  +/
Сообщение от anonfhjvxd (?), 14-Май-22, 19:57 
Верно. Самый умный - я
Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

28. "Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."  +1 +/
Сообщение от Аноним (27), 14-Май-22, 07:54 
Кстати Хуавей за что-то похожее забанили в США. А тут это всего лишь проходной баг.
Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."  +/
Сообщение от InuYasha (??), 14-Май-22, 19:48 
Там ведь nobody не входит в sudoers, я надеюсь? )
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру