Zyxel a corrigé une vulnérabilité de sécurité critique affectant les dispositifs de pare-feu Zyxel, qui permet à des attaquants non authentifiés et distants d'obtenir une exécution de code arbitraire.

"Une vulnérabilité d'injection de commande dans le programme CGI de certaines versions de pare-feu pourrait permettre à un attaquant de modifier des fichiers spécifiques, puis d'exécuter certaines commandes du système d'exploitation sur un dispositif vulnérable", a déclaré la société.

La société de cybersécurité Rapid7, qui a découvert et signalé la faille, a déclaré que cette dernière pourrait permettre à un adversaire distant non authentifié d'exécuter du code en tant qu'utilisateur "nobody" sur les appareils concernés.

Identifiée sous le nom de CVE-2022-30525 (score CVSS : 9.8), la faille affecte les produits suivants, avec des correctifs publiés dans la version ZLD V5.30 :

• USG FLEX 100(W), 200, 500, 700 ;
• USG FLEX 50(W) / USG20(W)-VPN ;
• Série ATP ;
• Série VPN.

Rapid 7 a noté qu'il y a au moins 16 213 appareils Zyxel vulnérables exposés à Internet, ce qui en fait un vecteur d'attaque lucratif pour les acteurs de la menace afin de mettre en scène des tentatives d'exploitation potentielles.

L’application de ce correctif dès que possible est hautement recommandée afin de se protéger des éventuelles exploitations de cette vulnérabilité.