9VSA23-00838-01 CSIRT comparte información de vulnerabilidades críticas parchadas por Zyxel

Resumen

El CSIRT de Gobierno comparte información de dos vulnerabilidades críticas que afectan a varios productos de firewall y VPN de Zyxel, que han sido parchadas por la compañía.

Vulnerabilidades

CVE-2023-33009 y CVE-2023-33010

Impacto

Vulnerabilidades críticas

CVE-2023-33009 y CVE-2023-33010: Vulnerabilidad de desbordamiento de buffer en la función de notificación en algunos productos de Zyxel, permitiendo a un atacante no autenticado llevar a cabo de ejecución remota de código o imponer condiciones de denegación de servicio (DoS).

Mitigación

Instalar las respectivas actualizaciones entregadas por el proveedor.

Productos afectados

Zyxel ATP firmware versiones ZLD V4.32 a V5.36 Patch 1 (parchado en ZLD V5.36 Patch 2)

Zyxel USG FLEX firmware versiones ZLD V4.50 a V5.36 Patch 1 (parchado en ZLD V5.36 Patch 2)

Zyxel USG FLEX50(W) / USG20(W)-VPN firmware versiones ZLD V4.25 a V5.36 Patch 1 (parchado en ZLD V5.36 Patch 2)

Zyxel VPN firmware versiones ZLD V4.30 a V5.36 Patch 1 (parchado en ZLD V5.36 Patch 2)

Zyxel ZyWALL/USG firmware versiones ZLD V4.25 a V4.73 Patch 1 (parchado en ZLD V4.73 Patch 2)

Enlaces

http://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-multiple-buffer-overflow-vulnerabilities-of-firewalls

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-33009

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-33010

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA23-00838-01.