Zyxel (fabricant d’équipements réseaux) a publié des correctifs de sécurité pour une vulnérabilité critique qui affecte une partie de ses produits de pare-feu d'entreprise et de VPN, cette faille pourrait permettre à un attaquant de prendre le contrôle des appareils.

Identifiée sous le nom de CVE-2022-0342 avec un score CVSS de 9.8 sur 10, ce bogue est dû à un contournement d'authentification causée par l'absence d'un mécanisme de contrôle d'accès approprié a été découverte dans le programme CGI de certaines versions de pare-feu. Cela permet à un attaquant de contourner l'authentification et d'obtenir un accès administratif au dispositif.

Les produits Zyxel suivants sont touchés

· USG/ZyWALL exécutant les versions de firmware ZLD V4.20 à ZLD V4.70 (corrigé dans ZLD V4.71);

· USG FLEX exécutant les versions de firmware ZLD V4.50 à ZLD V5.20 et ATP exécutant les versions de firmware ZLD V4.32 à ZLD V5.20 (corrigé dans ZLD V5.21 Patch 1);

· VPN exécutant les versions de firmware ZLD V4.30 à ZLD V5.20 (corrigé dans ZLD V5.21);

· NSG exécutant les versions de firmware V1.20 à V1.33 Patch 4 (le correctif V1.33p4_WK11 est disponible dès maintenant, le correctif standard V1.33 Patch 5 étant attendu en mai 2022).

Selon l’entreprise la vulnérabilité n’était pas exploitée dans la nature, mais il est recommandé aux utilisateurs des produits concernés d'installer les mises à jour du firmware pour prévenir toute menace potentielle.