El fabricante de equipos de red Zyxel ha lanzado parches para una falla de seguridad crítica en sus dispositivos de firewall que podrían explotarse para lograr la ejecución remota de código en los sistemas afectados.
El problema, rastreado como CVE-2023-28771, tiene una puntuación de 9,8 en el sistema de puntuación CVSS. A los investigadores de TRAPA Security se les ha atribuido el informe de la falla.
«El manejo inadecuado de mensajes de error en algunas versiones de firewall podría permitir que un atacante no autenticado ejecute algunos comandos del sistema operativo de forma remota mediante el envío de paquetes manipulados a un dispositivo afectado», Zyxel dicho en un aviso el 25 de abril de 2023.
Los productos afectados por la falla son:
- ATP (versiones ZLD V4.60 a V5.35, parcheado en ZLD V5.36)
- USG FLEX (versiones ZLD V4.60 a V5.35, parcheado en ZLD V5.36)
- VPN (versiones ZLD V4.60 a V5.35, parcheado en ZLD V5.36), y
- ZyWALL/USG (versiones ZLD V4.60 a V4.73, parcheado en ZLD V4.73 Parche 1)
Zyxel también ha dirigido una vulnerabilidad de inyección de comando posterior a la autenticación de alta gravedad que afecta a determinadas versiones de cortafuegos (CVE-2023-27991puntuación CVSS: 8,8) que podría permitir a un atacante autenticado ejecutar algunos comandos del sistema operativo de forma remota.
La deficiencia, que afecta a los dispositivos ATP, USG FLEX, USG FLEX 50(W) / USG20(W)-VPN y VPN, se resolvió en ZLD V5.36.
Aprenda a detener el ransomware con protección en tiempo real
Únase a nuestro seminario web y aprenda cómo detener los ataques de ransomware en seco con MFA en tiempo real y protección de cuenta de servicio.
Por último, la empresa también correcciones enviadas para cinco fallas de alta gravedad que afectan a varios firewalls y dispositivos de punto de acceso (AP) (desde CVE-2023-22913 hasta CVE-2023-22918) que podrían provocar la ejecución de código y causar una condición de denegación de servicio (DoS).
Nikita Abramov, de la empresa rusa de ciberseguridad Positive Technologies, ha sido acreditada por informar sobre los problemas. Abramov, a principios de este año, también descubierto cuatro vulnerabilidades de inyección de comandos y desbordamiento de búfer en CPE, ONT de fibra y extensores WiFi.
El más grave de los defectos es CVE-2022-43389 (puntuación CVSS: 9,8), una vulnerabilidad de desbordamiento de búfer que afecta a los dispositivos CPE 5G NR/4G LTE.
«No requirió autenticación para ser explotado y condujo a la ejecución de código arbitrario en el dispositivo», Abramov explicado En el momento. «Como resultado, un atacante podría obtener acceso remoto al dispositivo y controlar completamente su funcionamiento».