Zyxel se ha movido para abordar una vulnerabilidad de seguridad cr\u00edtica que afecta a los dispositivos de firewall Zyxel que permite a los atacantes remotos y no autenticados obtener la ejecuci\u00f3n de c\u00f3digo arbitrario.<\/p>\n
“Una vulnerabilidad de inyecci\u00f3n de comandos en el programa CGI de algunas versiones de firewall podr\u00eda permitir que un atacante modifique archivos espec\u00edficos y luego ejecute algunos comandos del sistema operativo en un dispositivo vulnerable”, dijo la empresa. dicho<\/a> en un aviso publicado el jueves.<\/p>\n La empresa de ciberseguridad Rapid7, que descubierto<\/a> e inform\u00f3 la falla el 13 de abril de 2022, dijo que la debilidad podr\u00eda permitir que un adversario remoto no autenticado ejecute c\u00f3digo como el usuario “nadie” en los dispositivos afectados.<\/p>\n rastreado como CVE-2022-30525<\/a> (puntaje CVSS: 9.8), la falla afecta a los siguientes productos, con parches lanzados en la versi\u00f3n ZLD V5.30:<\/p>\n Rapid 7 se\u00f1al\u00f3 que hay al menos 16,213 dispositivos Zyxel vulnerables expuestos a Internet, lo que lo convierte en un lucrativo vector de ataque para que los actores de amenazas realicen posibles intentos de explotaci\u00f3n.<\/p>\n La firma de ciberseguridad tambi\u00e9n se\u00f1al\u00f3 que Zyxel emiti\u00f3 silenciosamente correcciones para abordar el problema el 28 de abril de 2022 sin publicar las Vulnerabilidades y exposiciones comunes asociadas (CVE<\/a>) identificador o un aviso de seguridad. Zyxel, en su alerta, culp\u00f3 de esto a una “falta de comunicaci\u00f3n durante el proceso de coordinaci\u00f3n de divulgaci\u00f3n”.<\/p>\n “El parcheo silencioso de vulnerabilidades tiende a ayudar solo a los atacantes activos y deja a los defensores en la oscuridad sobre el verdadero riesgo de los problemas reci\u00e9n descubiertos”, dijo Jake Baines, investigador de Rapid7.<\/p>\n El aviso llega cuando Zyxel abord\u00f3 tres problemas diferentes, incluida una inyecci\u00f3n de comando (CVE-2022-26413<\/a>), un desbordamiento de b\u00fafer (CVE-2022-26414<\/a>) y una escalada de privilegios local (CVE-2022-0556<\/a>), en su enrutador inal\u00e1mbrico VMG3312-T20A y configurador AP que podr\u00eda conducir a la ejecuci\u00f3n de c\u00f3digo arbitrario.<\/p>\n <\/p>\n<\/div>\n\n
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/1650020196_834_Haskers-Gang-regala-malware-ZingoStealer-a-otros-ciberdelincuentes-de-forma.jpg\")
<\/a><\/div>\n