La CISA (Cybersecurity and Infrastructure Security Agency) ha aggiunto una falla di sicurezza critica in Zyxel Gear (recentemente corretta) al suo catalogo KEV (Known Exploited Vulnerabilities).
Tracciato come CVE-2023-28771 (punteggio CVSS: 9.8), il problema si riferisce a un difetto di “command injection” che interessa diversi modelli di firewall e che potrebbe consentire a un utente malintenzionato non autenticato di eseguire codice arbitrario inviando un pacchetto appositamente predisposto al dispositivo.
Zyxel ha risolto il difetto di sicurezza come parte degli aggiornamenti rilasciati il 25 aprile 2023 per i seguenti dispositivi interessati:
- ATP (versioni ZLD da V4.60 a V5.35, con patch in ZLD V5.36)
- USG FLEX (versioni da ZLD V4.60 a V5.35, con patch in ZLD V5.36)
- VPN (versioni da ZLD V4.60 a V5.35, con patch in ZLD V5.36) e
- ZyWALL/USG (versioni da ZLD V4.60 a V4.73, patchate in ZLD V4.73 Patch 1)
Nel frattempo da vari fronti risulterebbero prove di sfruttamento attivo. La Shadowserver Foundation, in un recente tweet , ha affermato che dal 26 maggio 2023 ci sarebbe uno sfruttamento attivo per l’implementazione di una variante della botnet Mirai, come anche la società di sicurezza informatica Rapid7 che ha segnalato un abuso su larga scala della vulnerabilità (CVE- 2023-28771).
https://twitter.com/Shadowserver/status/1662560843463098372
La società di sicurezza informatica Rapid7 ha anche messo in guardia contro l’abuso “diffuso” di CVE- 2023-28771.
Alla luce di tutto questo, è categorico applicare rapidamente le patch per mitigare i potenziali rischi. Sebbene le agenzie federali negli Stati Uniti siano tenute ad aggiornare i propri dispositivi entro il 21 giugno 2023, CISA esorta vivamente tutte le organizzazioni a ridurre la loro esposizione agli attacchi informatici, dando priorità alla correzione tempestiva della vulnerabilità.