Zyxel emite parches de seguridad críticos para cortafuegos y productos VPN

25 de mayo de 2023Ravie LakshmanánSeguridad/vulnerabilidad de la red

Zyxel ha lanzado actualizaciones de software para abordar dos fallas de seguridad críticas que afectan a ciertos productos de cortafuegos y VPN que podrían ser objeto de abuso por parte de atacantes remotos para lograr la ejecución del código.

Ambos defectos – CVE-2023-33009 y CVE-2023-33010 – son vulnerabilidades de desbordamiento de búfer y tienen una calificación de 9.8 sobre 10 en el sistema de calificación CVSS.

A continuación se incluye una breve descripción de los dos problemas:

CVE-2023-33009 – Una vulnerabilidad de desbordamiento de búfer en la función de notificación que podría permitir que un atacante no autenticado provoque una condición de denegación de servicio (DoS) y la ejecución remota de código.
CVE-2023-33010 – Una vulnerabilidad de desbordamiento de búfer en la función de procesamiento de ID que podría permitir que un atacante no autenticado provoque una condición de denegación de servicio (DoS) y la ejecución remota de código.

Los siguientes dispositivos se ven afectados:

ATP (versiones ZLD V4.32 a V5.36 parche 1, parcheado en ZLD V5.36 parche 2)
USG FLEX (versiones ZLD V4.50 a V5.36 parche 1, parcheado en ZLD V5.36 parche 2)
USG FLEX50(W) / USG20(W)-VPN (versiones ZLD V4.25 a V5.36 parche 1, parcheado en ZLD V5.36 parche 2)
VPN (versiones ZLD V4.30 a V5.36 Parche 1, parcheado en ZLD V5.36 Parche 2), y
ZyWALL/USG (versiones ZLD V4.25 a V4.73 Parche 1, parcheado en ZLD V4.73 Parche 2)

A los investigadores de seguridad de TRAPA Security y STAR Labs SG se les atribuye el descubrimiento y el informe de las fallas.

PRÓXIMO SEMINARIO WEB

Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!

Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!

Guardar mi asiento!

El aviso llega menos de un mes después de que Zyxel enviara correcciones para otra falla de seguridad crítica en sus dispositivos de firewall que podrían explotarse para lograr la ejecución remota de código en los sistemas afectados.

El problema, rastreado como CVE-2023-28771 (puntuación CVSS: 9,8), también se atribuyó a TRAPA Security, y el fabricante de equipos de red lo culpó al manejo inadecuado de mensajes de error. Desde entonces ha estado bajo explotación activa por actores de amenazas asociados con la botnet Mirai.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.

ttn-es-57

teknomers

Administrator

Visit Website View All Posts

Related Stories

Precio rebajado para el Apple Watch Series 9 Inox que coquetea con los 300€

Ventoy, la alternativa a Rufus, se adapta a las nuevas exigencias de Secure Boot de Windows 11

Supuesta colusión en los precios de la RAM: Samsung, SK Hynix y Micron enfrentan una demanda colectiva en Estados Unidos

You May Have Missed

Lecciones de vida: Proverbio francés del día: “Nada acorta la vida tanto como… — Lecciones de vida sobre el tiempo, el propósito, los esfuerzos, la distracción, la sobrepensación y por qué no deberías desperdiciar tu tiempo en cosas que no importan.

Ben Stokes se retira: El capitán de Inglaterra rechaza sugerencias sobre un posible regreso.

Canícula: 20,000 hogares sin electricidad tras las tormentas

«Francia no solo está entre los favoritos, sino que es el favorito»: Gary Lineker ve a los Bleus por encima en la Copa del Mundo

About the Author

Related Stories

You May Have Missed