Firewall Zyxel, in corso sfruttamento attivo di un difetto critico

La CISA (Cybersecurity and Infrastructure Security Agency) ha aggiunto una falla di sicurezza critica in Zyxel Gear (recentemente corretta) al suo catalogo KEV (Known Exploited Vulnerabilities).

Tracciato come CVE-2023-28771 (punteggio CVSS: 9.8), il problema si riferisce a un difetto di “command injection” che interessa diversi modelli di firewall e che potrebbe consentire a un utente malintenzionato non autenticato di eseguire codice arbitrario inviando un pacchetto appositamente predisposto al dispositivo.

Zyxel ha risolto il difetto di sicurezza come parte degli aggiornamenti rilasciati il ​​25 aprile 2023 per i seguenti dispositivi interessati:

  • ATP (versioni ZLD da V4.60 a V5.35, con patch in ZLD V5.36)
  • USG FLEX (versioni da ZLD V4.60 a V5.35, con patch in ZLD V5.36)
  • VPN (versioni da ZLD V4.60 a V5.35, con patch in ZLD V5.36) e
  • ZyWALL/USG (versioni da ZLD V4.60 a V4.73, patchate in ZLD V4.73 Patch 1)

Nel frattempo da vari fronti risulterebbero prove di sfruttamento attivo. La Shadowserver Foundation, in un recente tweet , ha affermato che dal 26 maggio 2023 ci sarebbe uno sfruttamento attivo per l’implementazione di una variante della botnet Mirai, come anche la società di sicurezza informatica Rapid7 che ha segnalato un abuso su larga scala della vulnerabilità (CVE- 2023-28771).

Fonte Twitter

https://twitter.com/Shadowserver/status/1662560843463098372

La società di sicurezza informatica Rapid7 ha anche messo in guardia contro l’abuso “diffuso” di CVE- 2023-28771.

Alla luce di tutto questo, è categorico applicare rapidamente le patch per mitigare i potenziali rischi. Sebbene le agenzie federali negli Stati Uniti siano tenute ad aggiornare i propri dispositivi entro il 21 giugno 2023, CISA esorta vivamente tutte le organizzazioni a ridurre la loro esposizione agli attacchi informatici, dando priorità alla correzione tempestiva della vulnerabilità.

Su Salvatore Lombardo 315 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.