Se han reportado nuevos avisos de seguridad sobre tres vulnerabilidades que afectan a productos Zyxel, que permitirían a un atacante realizar ejecución remota de código (RCE), denegación de servicios (DoS), entre otros.
Las vulnerabilidades reportadas se componen de 2 (dos) de severidad “Alta” y 1 (una) de severidad “Baja”. Las cuales se detallan a continuación:
- CVE-2022-45441, de severidad “Alta”, con una puntuación asignada de 8.2. Esta vulnerabilidad de cross-site scripting (XSS) se debe a una falla de seguridad en Zyxel NBG-418N. Esto permitiría a un atacante no autenticado almacenar scripts especialmente diseñados enviados a la página de registro GIU y ejecutados por la víctima, realizar denegación de servicios (DoS) en el dispositivo afectado.
- CVE-2022-38547, de severidad “Alta”, con una puntuación asignada de 7.2. Esta vulnerabilidad de inyección de comandos se debe a una falla en la autenticación en la interfaz CLI de Zyxel ZyWALL/USG. Esto permitiría a un atacante remoto y autenticado con credenciales de administrador realizar ejecución remota de comandos del sistema operativo en el dispositivo afectado.
- CVE-2022-45854, de severidad “Baja”, con una puntuación asignada de 3.1. Esta vulnerabilidad se debe a una falla de validación de entradas del usuario en el firmware de Zyxel NWA110AX. Esto permitiría a un atacante con acceso de red realizar denegación de servicios (DoS) de manera temporal en el dispositivo afectado a través de paquetes especialmente diseñados con la dirección MAC interceptada de la víctima en el tráfico de red.
Los productos afectados de Zyxel son:
- NBG-418N v2, versión V1.00(AARP.10)C0 y anteriores.
- ATP, versión ZLD V4.32 hasta V5.32.
- USG FLEX, versión ZLD V4.50 hasta V5.32.
- NWA110AX, versión 6.45(ABTG.0)C0 y anteriores.
Puede visualizar el listado completo de productos afectados aquí.
Se recomienda acceder a la actualización proporcionado por Zyxel en el siguiente enlace:
- https://support.zyxel.eu/hc/en-us/articles/4402786248466-Security-Vulnerability-Alert-and-Firmware-Patches-Firewall-Series#h_01F9VK4118PVPED33DF0STSX2B
- https://www.zyxel.com/global/en/support/download
Referencias:
- https://www.redpacketsecurity.com/zyxel-atp-usg-flex-vpn-and-zywall-usg-command-execution-cve-2022-38547-3/
- https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-post-authentication-rce-in-firewalls
- https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-dos-vulnerability-of-aps
- https://nvd.nist.gov/vuln/detail/CVE-2022-45441
- https://nvd.nist.gov/vuln/detail/CVE-2022-38547
- https://nvd.nist.gov/vuln/detail/CVE-2022-45854
- https://support.zyxel.eu/hc/en-us/articles/4402786248466-Security-Vulnerability-Alert-and-Firmware-Patches-Firewall-Series#h_01F9VK4118PVPED33DF0STSX2B
- https://www.zyxel.com/global/en/support/download