A Zyxel lançou atualizações de software para corrigir duas falhas críticas de segurança que afetam determinados produtos de firewall e VPN e que podem ser exploradas por atacantes remotos para executar código.
Ambas as falhas -
CVE-2023-33009
e
CVE-2023-33010
- são vulnerabilidades de transbordamento de buffer e são classificadas com 9,8 de 10 no sistema de pontuação CVSS.
Uma breve descrição dos dois problemas de segurança está abaixo:
CVE-2023-33009
- Uma vulnerabilidade de transbordamento de buffer na função de notificação que pode permitir a um atacante não autenticado causar uma condição de negação de serviço (DoS) e execução remota de código.
CVE-2023-33010
- Uma vulnerabilidade de transbordamento de buffer na função de processamento de ID que pode permitir a um atacante não autenticado causar uma condição de negação de serviço (DoS) e execução remota de código.
Os seguintes dispositivos são afetados:
ATP (versões ZLD V4.32 a V5.36 Patch 1, corrigidas em ZLD V5.36 Patch 2)
USG FLEX (versões ZLD V4.50 a V5.36 Patch 1, corrigidas em ZLD V5.36 Patch 2)
USG FLEX50 (W) / USG20 (W)-VPN (versões ZLD V4.25 a V5.36 Patch 1, corrigidas em ZLD V5.36 Patch 2)
VPN (versões ZLD V4.30 a V5.36 Patch 1, corrigidas em ZLD V5.36 Patch 2) e
ZyWALL/USG (versões ZLD V4.25 a V4.73 Patch 1, corrigidas em ZLD V4.73 Patch 2)
Pesquisadores de segurança da TRAPA Security e STAR Labs SG foram creditados por descobrir e relatar as falhas.
A orientação vem menos de um mês depois que a Zyxel enviou correções para outra falha crítica de segurança em seus dispositivos de firewall que poderia ser explorada para executar código remoto em sistemas afetados.
O problema, rastreado como
CVE-2023-28771
(pontuação CVSS: 9,8), também foi creditado à TRAPA Security, com o fabricante de equipamentos de rede culpando-o por tratamento inadequado de mensagens de erro.
Desde então, ele vem sendo ativamente explorado por atores de ameaças associados ao botnet Mirai.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...