
Zyxel advierte de vulnerabilidades en una amplia gama de sus productos


Imágenes Getty
El fabricante de hardware de redes Zyxel advierte de casi una docena de vulnerabilidades en una amplia gama de sus productos. Si no se solucionan, algunas de ellas podrían permitir el control total de los dispositivos, que pueden ser el punto de entrada inicial a grandes redes.
La vulnerabilidad más grave, identificada como CVE-2024-7261
Pero espera… hay más.
El fabricante de hardware advirtió sobre siete vulnerabilidades adicionales que afectan a las series de firewalls, entre ellas ATP, USG-FLEX y USG FLEX 50(W)/USG20(W)-VPN. Las vulnerabilidades tienen una clasificación de gravedad que va de 4,9 a 8,1. Las vulnerabilidades son:
CVE-2024-6343: una vulnerabilidad de desbordamiento de búfer en el programa CGI que podría permitir a un atacante autenticado con privilegios de administrador realizar una denegación de servicio mediante el envío de solicitudes HTTP diseñadas.
CVE-2024-7203: Una vulnerabilidad de inyección de comandos posterior a la autenticación que podría permitir que un atacante autenticado con privilegios de administrador ejecute comandos del sistema operativo mediante la ejecución de un comando CLI diseñado específicamente.
CVE-2024-42057: Una vulnerabilidad de inyección de comandos en la función VPN IPSec que podría permitir que un atacante no autenticado ejecute comandos del sistema operativo mediante el envío de un nombre de usuario creado. El ataque tendría éxito solo si el dispositivo estuviera configurado en modo de autenticación User-Based-PSK y existiera un usuario válido con un nombre de usuario largo que supere los 28 caracteres.
CVE-2024-42058: Una vulnerabilidad de desreferencia de puntero nulo en algunas versiones de firewall que podría permitir a un atacante no autenticado lanzar ataques DoS mediante el envío de paquetes creados.
CVE-2024-42059: Una vulnerabilidad de inyección de comandos posterior a la autenticación que podría permitir a un atacante autenticado con privilegios de administrador ejecutar comandos del sistema operativo en un dispositivo afectado cargando un archivo de idioma comprimido a través de FTP.
CVE-2024-42060: Una vulnerabilidad de inyección de comandos posterior a la autenticación que podría permitir que un atacante autenticado con privilegios de administrador ejecute comandos del sistema operativo cargando un archivo de acuerdo de usuario interno diseñado específicamente en el dispositivo vulnerable.
CVE-2024-42061: Una vulnerabilidad reflejada de secuencias de comandos entre sitios en el programa CGI “dynamic_script.cgi” que podría permitir a un atacante engañar a un usuario para que visite una URL creada con la carga útil XSS. El atacante podría obtener información basada en el navegador si el script malicioso se ejecuta en el navegador de la víctima.
La vulnerabilidad restante es CVE-2024-5412 con una calificación de gravedad de 7,5. Se encuentra en 50 modelos de productos Zyxel, incluidos una gama de equipos para instalaciones de clientes, terminales de red de fibra óptica y enrutadores de seguridad. Una vulnerabilidad de desbordamiento de búfer en la biblioteca “libclinkc” de los dispositivos afectados podría permitir que un atacante no autenticado realice ataques de denegación de servicio mediante el envío de una solicitud HTTP diseñada.
En los últimos años, las vulnerabilidades de los dispositivos Zyxel han sido objeto de ataques activos y periódicos. Muchos de los parches están disponibles para su descarga en los enlaces que se indican en los avisos. En una pequeña cantidad de casos, los parches están disponibles a través de la nube. Los parches para algunos productos solo están disponibles si se contacta de forma privada con el equipo de soporte de la empresa.