Zyxel emite patches de segurança críticos para produtos de firewall e VPN
26 de Maio de 2023

A Zyxel lançou atualizações de software para corrigir duas falhas críticas de segurança que afetam determinados produtos de firewall e VPN e que podem ser exploradas por atacantes remotos para executar código.

Ambas as falhas - CVE-2023-33009 e CVE-2023-33010 - são vulnerabilidades de transbordamento de buffer e são classificadas com 9,8 de 10 no sistema de pontuação CVSS.

Uma breve descrição dos dois problemas de segurança está abaixo:

CVE-2023-33009 - Uma vulnerabilidade de transbordamento de buffer na função de notificação que pode permitir a um atacante não autenticado causar uma condição de negação de serviço (DoS) e execução remota de código.

CVE-2023-33010 - Uma vulnerabilidade de transbordamento de buffer na função de processamento de ID que pode permitir a um atacante não autenticado causar uma condição de negação de serviço (DoS) e execução remota de código.

Os seguintes dispositivos são afetados:

ATP (versões ZLD V4.32 a V5.36 Patch 1, corrigidas em ZLD V5.36 Patch 2)
USG FLEX (versões ZLD V4.50 a V5.36 Patch 1, corrigidas em ZLD V5.36 Patch 2)
USG FLEX50 (W) / USG20 (W)-VPN (versões ZLD V4.25 a V5.36 Patch 1, corrigidas em ZLD V5.36 Patch 2)
VPN (versões ZLD V4.30 a V5.36 Patch 1, corrigidas em ZLD V5.36 Patch 2) e
ZyWALL/USG (versões ZLD V4.25 a V4.73 Patch 1, corrigidas em ZLD V4.73 Patch 2)

Pesquisadores de segurança da TRAPA Security e STAR Labs SG foram creditados por descobrir e relatar as falhas.

A orientação vem menos de um mês depois que a Zyxel enviou correções para outra falha crítica de segurança em seus dispositivos de firewall que poderia ser explorada para executar código remoto em sistemas afetados.

O problema, rastreado como CVE-2023-28771 (pontuação CVSS: 9,8), também foi creditado à TRAPA Security, com o fabricante de equipamentos de rede culpando-o por tratamento inadequado de mensagens de erro.

Desde então, ele vem sendo ativamente explorado por atores de ameaças associados ao botnet Mirai.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...