Zyxel telah merilis pembaruan perangkat lunak untuk mengatasi kelemahan keamanan kritis yang memengaruhi titik akses (AP) dan versi router keamanan tertentu yang dapat mengakibatkan eksekusi perintah yang tidak sah.
Dilacak sebagai CVE-2024-7261 (skor CVSS: 9,8), kerentanan tersebut telah digambarkan sebagai kasus injeksi perintah sistem operasi (OS).
“Netralisasi yang tidak tepat pada elemen khusus dalam parameter 'host' dalam program CGI pada beberapa versi AP dan router keamanan dapat memungkinkan penyerang yang tidak diautentikasi untuk menjalankan perintah OS dengan mengirimkan cookie yang dibuat ke perangkat yang rentan,” kata Zyxel dalam sebuah nasihat.
Chengchao Ai dari tim ROIS Universitas Fuzhou dianggap berjasa menemukan dan melaporkan kelemahan tersebut.
Zyxel juga telah mengirimkan pembaruan untuk delapan kerentanan pada router dan firewall-nya, termasuk beberapa yang memiliki tingkat keparahan tinggi, yang dapat mengakibatkan eksekusi perintah OS, penolakan layanan (DoS), atau akses informasi berbasis browser –
- CVE-2024-5412 (skor CVSS: 7.5) – Kerentanan buffer overflow di pustaka “libclinkc” yang dapat memungkinkan penyerang yang tidak diautentikasi menyebabkan kondisi DoS melalui permintaan HTTP yang dibuat khusus
- CVE-2024-6343 (skor CVSS: 4.9) – Kerentanan buffer overflow yang dapat memungkinkan penyerang terautentikasi dengan hak istimewa administrator untuk memicu kondisi DoS melalui permintaan HTTP yang dibuat khusus
- CVE-2024-7203 (skor CVSS: 7.2) – Kerentanan injeksi perintah pasca-autentikasi yang dapat memungkinkan penyerang terautentikasi dengan hak istimewa administrator untuk menjalankan perintah OS
- CVE-2024-42057 (skor CVSS: 8.1) – Kerentanan injeksi perintah dalam fitur VPN IPSec yang dapat memungkinkan penyerang yang tidak diautentikasi untuk menjalankan beberapa perintah OS
- CVE-2024-42058 (skor CVSS: 7.5) – Kerentanan dereferensi penunjuk nol yang dapat memungkinkan penyerang yang tidak diautentikasi menyebabkan kondisi DoS dengan mengirimkan paket yang dibuat
- CVE-2024-42059 (skor CVSS: 7.2) – Kerentanan injeksi perintah pasca-autentikasi yang dapat memungkinkan penyerang yang diautentikasi dengan hak istimewa administrator untuk menjalankan beberapa perintah OS dengan mengunggah file bahasa terkompresi yang dibuat melalui FTP
- CVE-2024-42060 (skor CVSS: 7.2) – Kerentanan injeksi perintah pasca-autentikasi di beberapa versi firewall dapat memungkinkan penyerang yang diautentikasi dengan hak istimewa administrator untuk menjalankan beberapa perintah OS
- CVE-2024-42061 (skor CVSS: 6.1) – Kerentanan cross-site scripting (XSS) yang tercermin dalam program CGI “dynamic_script.cgi” yang dapat memungkinkan penyerang untuk menipu pengguna agar mengunjungi URL yang dibuat dengan muatan XSS dan memperoleh informasi berbasis browser
Perkembangan ini terjadi saat D-Link mengatakan empat kerentanan keamanan yang memengaruhi router DIR-846-nya, termasuk dua kerentanan eksekusi perintah jarak jauh yang kritis (CVE-2024-44342, skor CVSS: 9,8) tidak akan ditambal karena produk tersebut mencapai status akhir masa pakai (EoL) pada Februari 2020, dan mendesak pelanggan untuk menggantinya dengan versi dukungan.