ZYXEL 제품 보안 업데이트 권고
□ 개요
o ZYXEL은 자사 제품에서 발생하는 취약점을 해결한 보안 업데이트 발표 [1][2]
o 공격자는 취약점을 악용하여 피해를 발생시킬 수 있으므로, 해당 제품을 사용하는 이용자들은 최신 버전으로 업데이트 권고
□ 설명
o 방화벽 일부 펌웨어 버전의 CGI 프로그램에서 발생하는 XSS 취약점(CVE-2022-0734) [3]
o 방화벽, AP 컨트롤러, AP 일부 펌웨어 버전의 CLI 명령으로 발생하는 버퍼 오버플로우 취약점(CVE-2022-26531) [4]
o 방화벽, AP 컨트롤러, AP 일부 펌웨어 버전의 "packet-trace" CLI 명령어에서 발생하는 명령어 삽입 취약점 (CVE-2022-26532) [5]
o 방화벽 일부 펌웨어 버전의 CGI 프로그램에서 접근 컨트롤 매커니즘의 부재로 인해 발생하는 인증 우회 취약점(CVE-2022-0910) [6]
□ 영향을 받는 버전 및 해결 버전
| 구분 | 제품명 | 영향받는 버전 | 해결 버전 |
| 방화벽 | USG | ZLD V4.09 ~ V4.71 | ZLD V4.72 |
| USG Flex | ZLD V4.50 ~ V5.21 | ZLD V5.30 | |
| VPN | ZLD V4.30 ~ V5.21 | ||
| AP 컨트롤러 | NXC2500 | 6.10(AAIC.3) 이전 버전 | Hotfix *별도 링크에서 다운로드 [7] |
| NXC5500 | 6.10(AAOS.3) 이전 버전 | ||
| 무선 AP | NWA90AX | 6.27(ACCV.2) 이전 버전 | 6.27(ACCV.3) |
| NWA1123-AC PRO | 6.25(ABHD.7) 이전 버전 | 6.25(ABHD.8) | |
| WAC500H | 6.30(ABWA.2) 이전 버전 | 6.30(ABWA.3) | |
| WAC500 | 6.30(ABVS.2) 이전 버전 | 6.30(ABVS.3) | |
| WAC6103D-I | 6.25(AAXH.7) 이전 버전 | 6.25(AAXH.8) | |
| WAC6303D-S | 6.25(ABGL.6) 이전 버전 | 6.25(ABGL.8) | |
| WAC6502D-S | 6.25(AASE.7) 이전 버전 | 6.25(AASE.8) | |
| WAC6553D-E | 6.25(AASG.7) 이전 버전 | 6.25(AASG.8) | |
| WAC6552D-S | 6.25(ABIO.7) 이전 버전 | 6.25(ABIO.8) | |
| WAX610D | 6.30(ABTE.2) 이전 버전 | 6.30(ABTE.3) | |
| WAX650S | 6.30(ABRM.2) 이전 버전 | 6.30(ABRM.3) |
□ 해결방안
o 제조사 홈페이지를 참고하여 최신버전으로 업데이트
□ 기타 문의사항
o 자이젤코리아 : 02-890-5533
[참고사이트]
[1] http://www.zyxel.kr/bbs/board.php?bo_table=notice&wr_id=171
[2] https://www.zyxel.com/support/multiple-vulnerabilities-of-firewalls-AP-controllers-and-APs.shtml
[3] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-0734
[4] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26531
[5] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26532
[6] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-0910
[7] https://drive.google.com/drive/folders/1NWjmu5RrBs_bGVkZxC6s0mBHx7Jo56vM
