Attività malevole su dispositivi Zyxel

Vulnerabilità coinvolte
Sono state identificate diverse vulnerabilità critiche nei prodotti firewall e VPN di Zyxel:

•     CVE-2024-7261 (CVSS 9.8): Una vulnerabilità di iniezione di comandi OS che colpisce access point e router di sicurezza.
•     CVE-2023-33009 e CVE-2023-33010 (entrambe con CVSS 9.8): Vulnerabilità di buffer overflow che permettono l'esecuzione di codice remoto o attacchi DoS2.

Altre vulnerabilità di elevata gravità (CVE-2024-7203, CVE-2024-42057, CVE-2024-42058, CVE-2024-42059, CVE-2024-42060) che consentono l'esecuzione di comandi arbitrari e attacchi DoS.

Impatto e sfruttamento
Le vulnerabilità permettono agli attaccanti di:

•     Eseguire codice arbitrario con privilegi elevati
•     Causare condizioni di denial-of-service
•     Accedere a informazioni sensibili

È stato riportato lo sfruttamento attivo di alcune di queste vulnerabilità, in particolare per distribuire varianti del botnet Mirai.

Prodotti interessati
Le vulnerabilità colpiscono diversi prodotti Zyxel, tra cui:

•     Firewall delle serie ATP, USG FLEX, VPN
•     Access point e router di sicurezza di vari modelli

Fonti: CSIRT Italia, Securityweek