انتقلت Zyxel لمعالجة ثغرة أمنية خطيرة تؤثر على أجهزة Zyxel firewall التي تمكّن المهاجمين غير المصادق عليهم عن بُعد من تنفيذ تعليمات برمجية عشوائية.
وقالت الشركة، قد تسمح ثغرة في إدخال الأوامر في برنامج CGI لبعض إصدارات جدار الحماية للمهاجم بتعديل ملفات معينة ثم تنفيذ بعض أوامر نظام التشغيل على جهاز ضعيف.
قالت شركة الأمن السيبراني Rapid7، التي اكتشفت الخلل وأبلغت عنه في 13 أبريل 2022، إن الضعف قد يسمح لخصم بعيد غير مصادق بتنفيذ التعليمات البرمجية باعتباره مستخدم بإسم "nobody" على الأجهزة المتأثرة.
تم تتبعه كـ CVE-2022-30525 (درجة CVSS: 9.8)، يؤثر الخلل على المنتجات التالية، مع إصدار التصحيحات في الإصدار ZLD V5.30 -
- USG FLEX 100(W), 200, 500, 700
- USG FLEX 50(W) / USG20(W)-VPN
- ATP series, and
- VPN serie
وأضافت ذات الشركة، أنه بعد إجراء تحقيق شامل، تم تحديد المنتجات المعرضة للإصابة ضمن فترة دعم الثغرات الأمنية وأصدرنا تصحيحات لمعالجة الثغرة الأمنية، كما هو موضح في الجدول أدناه.