南華大學資訊中心
南華大學 回首頁 English
首頁 > ������������������
資安暨個資推行委員會
資訊安全專區
個人資料保護專區

資訊安全政策聲明 外來文件 ISMS文件庫 資安預警通報 聯絡窗口
2023/5/4
【轉知】(ANA事件單通知:TACERT-ANA-2023050401052323)(【漏洞預警】Zyxel防火牆存在安全漏洞CVE-2023-27991與CVE-2023-28771,允許攻擊者遠端執行任意程式碼,請儘速確認並進行更新!)
【轉知】(ANA事件單通知:TACERT-ANA-2023050401052323)(【漏洞預警】Zyxel防火牆存在安全漏洞CVE-2023-27991與CVE-2023-28771,允許攻擊者遠端執行任意程式碼,請儘速確認並進行更新!)
 
[發佈編號] TACERT-ANA-2023050401052323 [發佈時間] 2023-05-04 13:53:23
[事故類型] ANA-漏洞預警 [發現時間] 2023-05-04 11:55:23
[影響等級]
[主旨說明]【漏洞預警】Zyxel防火牆存在安全漏洞CVE-2023-27991與CVE-2023-28771,允許攻擊者遠端執行任意程式碼,請儘速確認並進行更新!
[內容說明]
轉發 國家資安資訊分享與分析中心 NISAC-ANA-202305-0115
研究人員發現,Zyxel防火牆存在2個高風險安全漏洞。 CVE-2023-27991為命令注入漏洞,允許已通過身分鑑別之遠端攻擊者,透過命令列介面,執行作業系統指令,達到任意執行程式碼情況。 CVE-2023-28771為命令注入漏洞,允許未經身分鑑別之遠端攻擊者,透過發送偽造網路封包,執行作業系統指令,達到任意執行程式碼情況。
 
[情資分享等級] WHITE(情資內容為可公開揭露之資訊)
此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發
 
[影響平台]
一、CVE-2023-27991 
1.ATP系列產品之韌體版本ZLD V4.32至V5.35 
2.USG-FLEX系列產品之韌體版本ZLD V4.50至V5.35 
3.USG FLEX 50(W)/USG20(W)-VPN系列產品之韌體版本 ZLD V4.16至V5.35 
4.VPN系列產品之韌體版本ZLD V4.30至V5.35 
 
二、CVE-2023-28771 
1.ATP系列產品之韌體版本ZLD V4.60至V5.35 
2.USG-FLEX系列產品之韌體版本ZLD V4.60至V5.35 
3.VPN系列產品之韌體版本ZLD V4.60至V5.35 
4.ZyWALL/USG系列產品之韌體版本ZLD V4.60至V4.73 
 
[建議措施]
官方已針對漏洞釋出修復更新,請更新至以下版本: 
1.ATP、USG-FLEX、USG FLEX 50(W)、USG20(W)-VPN及VPN等系列產品之韌體版本請更新至ZLD V5.36(含)以上版本。
2.ZyWALL/USG系列產品之韌體版本請更新至ZLD V4.73 Patch 1(含)以上版本。
 
[參考資料]
1. https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-remote-command-injection-vulnerability-of-firewalls 
2. https://nvd.nist.gov/vuln/detail/CVE-2023-27991 
3. https://nvd.nist.gov/vuln/detail/CVE-2023-28771 
4. https://thehackernews.com/2023/04/zyxel-firewall-devices-vulnerable-to.html 
 
(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw
 
Go Back
1070201資安內稽