Di tanto in tanto, purtroppo, Zyxel sale agli onori della cronaca a causa di vulnerabilità relative alle proprie soluzioni, come accaduto a settembre scorso. A tal riguardo, nel corso delle ultime ore, la famosa azienda ha iniziato ad avvertire i clienti dell’esistenza di due falle critiche in molti suoi prodotti firewall e VPN destinati a piccole e medie imprese che i malintenzionati potrebbero sfruttare senza eseguire l’autenticazione.
Zyxel: scovate le falle CVE-2023-33009 e CVE-2023-33010
Entrambe le vulnerabilità sono overflow del buffer e potrebbero consentire l’esecuzione di codice remoto (Denial of Service) sui dispositivi vulnerabili. Eccole in dettaglio:
- CVE-2023-33009 (punteggio di gravità critica di 9,8) – è una vulnerabilità di overflow del buffer nella funzione di notifica in alcuni prodotti Zyxel che consente a un utente malintenzionato non autenticato di eseguire l’esecuzione di codice remoto o imporre condizioni DoS.
- CVE-2023-33010 (punteggio di gravità critica di 9,8) – è una vulnerabilità di overflow del buffer nella funzione di elaborazione ID in alcuni prodotti Zyxel, la quale consente a un utente malintenzionato non autenticato di eseguire l’esecuzione di codice remoto o imporre condizioni DoS.
La soluzione a tutto ciò è fortunatamente già disponibile, in quanto l’azienda ha prontamente provveduto a rilasciare le patch apposite, che gli utenti sono invitati a scaricare e installare sui propri dispositivi coinvolti il prima possibile.
Il download delle patch può avvenire da questa pagina Web e riguarda i seguenti dispositivi.
- Zyxel ATP – versione firmware da ZLD V4.32 a V5.36 Patch 1 (fix in ZLD V5.36 Patch 2)
- Zyxel USG FLEX – versione firmware da ZLD V4.50 a V5.36 Patch 1 (fix in ZLD V5.36 Patch 2)
- Zyxel USG FLEX50(W) / USG20(W)-VPN – versioni firmware ZLD V4.25 a V5.36 Patch 1 (fissato in ZLD V5.36 Patch 2)
- Zyxel VPN – versione firmware da ZLD V4.30 a V5.36 Patch 1 (fissato in ZLD V5.36 Patch 2)
- Zyxel ZyWALL/USG – versione firmware da ZLD V4.25 a V4.73 Patch 1 (fissato in ZLD V4.73 Patch 2)