【漏洞預警】Zyxel 防火墻命令注入漏洞

1. 通告信息

近日，安識科技A-Team團隊監測到一則Zyxel 防火墻命令注入漏洞，漏洞編號：CVE-2022-30525，漏洞威脅等級：嚴重。該漏洞存在于某些Zyxel防火墻版本的 CGI 程序中，允許在未經身份驗證的情況下在受影響設備上以nobody用戶身份執行任意命令。  

2. 漏洞概述

CVE-2022-30525

簡述：Zyxel USG FLEX 是中國 Zyxel 公司的一款防火墻，可以提供靈活的 VPN 選項，為遠程工作和管理提供靈活的安全遠程訪問。

3. 漏洞危害

該漏洞存在于某些Zyxel防火墻版本的 CGI 程序中，允許在未經身份驗證的情況下在受影響設備上以nobody用戶身份執行任意命令。

4. 影響版本

目前受影響的版本：

5.00 ≤ Zyxel ≤ 5.21

5. 解決方案

     當前官方已發布最新版本，建議受影響的用戶及時更新升級到最新版本。鏈接如下：

https://www.zyxel.com/support/Zyxel-security-advisory-for-OS-command-injection-vulnerability-of-firewalls.shtml

6. 時間軸

【-】2022年5月18日 安識科技A-Team團隊監測到Zyxel 防火墻命令注入漏洞

【-】2022年5月18日 安識科技A-Team團隊根據漏洞信息分析

【-】2022年5月19日 安識科技A-Team團隊發布安全通告