Zyxel ha lanzado parches para abordar cuatro fallas de seguridad que afectan su firewall, controlador AP y productos AP para ejecutar comandos arbitrarios del sistema operativo y robar información seleccionada.
La lista de vulnerabilidades de seguridad es la siguiente:
- CVE-2022-0734 – Una vulnerabilidad de cross-site scripting (XSS) en algunas versiones de cortafuegos que podría aprovecharse para acceder a información almacenada en el navegador del usuario, como cookies o tokens de sesión, a través de un script malicioso.
- CVE-2022-26531 – Varias fallas de validación de entrada en los comandos de la interfaz de línea de comandos (CLI) para algunas versiones de firewall, controlador AP y dispositivos AP que podrían explotarse para provocar un bloqueo del sistema.
- CVE-2022-26532 – Una vulnerabilidad de inyección de comando en el «seguimiento de paquetes«Comando CLI para algunas versiones de firewall, controlador AP y dispositivos AP que podrían conducir a la ejecución de comandos arbitrarios del sistema operativo.
- CVE-2022-0910 – Una vulnerabilidad de elusión de la autenticación que afecta a determinadas versiones de cortafuegos y que podría permitir a un atacante pasar de la autenticación de dos factores a la autenticación de un factor a través de un cliente VPN IPsec.
Si bien Zyxel ha publicado parches de software para firewalls y dispositivos AP, la revisión para los controladores AP afectados por CVE-2022-26531 y CVE-2022-26532 solo se puede obtener poniéndose en contacto con los respectivos equipos de soporte locales de Zyxel.
El desarrollo se presenta como una falla crítica de inyección de comandos en versiones seleccionadas de los firewalls Zyxel (CVE-2022-30525, puntaje CVSS: 9.8) que ha estado bajo explotación activa, lo que llevó a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. a agregar el error a sus Vulnerabilidades Explotadas Conocidas Catalogar.