内容摘要：日前，Zyxel发布了一份指南，旨在保护防火墙和VPN设备免受利用CVE-2023-28771、CVE-2023-33009和CVE-2023-33010漏洞的持续攻击。指南中提到，该公司一直在通过多

日前
 ，火墙Zyxel发布了一份指南，曝出旨在保护防火墙和VPN设备免受利用CVE-2023-28771 、高危CVE-2023-33009和CVE-2023-33010漏洞的安全持续攻击。

指南中提到，漏洞该公司一直在通过多种渠道敦促用户安装补丁 ，现已修复比如已经给注册用户和资讯订阅者发送了多份安全资讯，火墙通过本地设备的曝出Web GUI推送通知通知用户升级；以及对尚未升级的亿华云基于云的设备强制执行预定的固件升级等。

有威胁行为者正在尝试利用命令注入漏洞CVE-2023-28771以影响Zyxel防火墙。高危他们的安全目标是利用这个漏洞在受影响的系统上部署和安装恶意软件。美国CISA目前已将该漏洞添加到其已知利用漏洞目录中
。模板下载漏洞

4月下旬，现已修复Zyxel方面称已解决了其防火墙设备中的火墙严重漏洞CVE-2023-28771 (CVSS评分9.8)，并建议其客户立即安装补丁，曝出以尽快修复漏洞避免造成更大影响 。高危

另外两个被追踪到的漏洞是CVE-2023-33009和CVE-2023-33010
，这两个是服务器租用关键的缓冲区溢出漏洞。 远程的、未经认证的攻击者可以触发这些缺陷，在易受攻击的设备上造成拒绝服务（DoS）条件和远程代码执行。

该公司表示，免费模板设备一旦遭受攻击，其Web GUI或SSH管理界面将无法访问，可能出现网络中断和VPN连接断开等问题。下表列出了受这些缺陷影响的产品和固件版本 ，以及解决这些问题的最新固件更新 ：

与此同时 ，Zyxel还提供了针对这些漏洞的缓解措施，源码库例如从WAN(广域网)禁用HTTP/HTTPS服务。

如果管理员需要从广域网侧管理设备，可启用“策略控制”功能
，并添加只允许可信源IP地址访问的规则。该指南还建议启用GeoIP过滤 ，只允许来自受信任位置的访问。如果不需要IPSec VPN功能，香港云服务器Zyxel方面建议关闭UDP端口500和4500。