Zyxel ha lanzado actualizaciones de software para abordar dos fallas de seguridad críticas que afectan a determinados productos de firewall y VPN que podrían ser abusados por atacantes remotos para lograr la ejecución del código.
Ambas fallas, CVE-2023-33009 y CVE-2023-33010, son vulnerabilidades de desbordamiento de búfer y tienen una calificación de 9.8 sobre 10 en el sistema de puntuación CVSS.
A continuación se ofrece una breve descripción de las dos cuestiones:
- CVE-2023-33009: vulnerabilidad de desbordamiento de búfer en la función de notificación que podría permitir a un atacante no autenticado provocar una condición de denegación de servicio (DoS) y la ejecución remota de código.
- CVE-2023-33010: vulnerabilidad de desbordamiento de búfer en la función de procesamiento de ID que podría permitir a un atacante no autenticado provocar una condición de denegación de servicio (DoS) y la ejecución remota de código.
Los siguientes dispositivos se ven afectados:
- ATP (versiones ZLD V4.32 a V5.36 Parche 1, parcheado en ZLD V5.36 Parche 2)
- USG FLEX (versiones ZLD V4.50 a V5.36 Parche 1, parcheado en ZLD V5.36 Parche 2)
- USG FLEX50(W) / USG20(W)-VPN (versiones ZLD V4.25 a V5.36 Parche 1, parcheado en ZLD V5.36 Parche 2)
- VPN (versiones ZLD V4.30 a V5.36 Parche 1, parcheado en ZLD V5.36 Parche 2), y
- ZyWALL/USG (versiones ZLD V4.25 a V4.73 Parche 1, parcheado en ZLD V4.73 Parche 2)
Los investigadores de seguridad de TRAPA Security y STAR Labs SG han sido acreditados con el descubrimiento y la notificación de las fallas.
El aviso se produce menos de un mes después de que Zyxel enviara correcciones para otra falla de seguridad crítica en sus dispositivos de firewall que podría explotarse para lograr la ejecución remota de código en los sistemas afectados.
El problema, rastreado como CVE-2023-28771 (puntuación CVSS: 9.8), también se atribuyó a TRAPA Security, y el fabricante de equipos de red lo culpó de un manejo incorrecto de los mensajes de error. Desde entonces, ha sido objeto de explotación activa por parte de actores de amenazas asociados con la botnet Mirai.
Fuente: The Hacker News