Zyxel ha reportado un nuevo aviso de seguridad sobre varias vulnerabilidades que afectan a sus productos, que permitirían a un atacante realizar escalamiento de privilegios o ejecución remota de código (RCE).
Las vulnerabilidades reportadas se componen de 3 (tres) de severidad “Crítica”. Las cuales se detallan a continuación:
- CVE-2020-29583, de severidad crítica, con una puntuación asignada de 9.8. Esta vulnerabilidad se debe a un error de firmware que contiene la cuenta creada para realizar actualizaciones automáticas (zyfwp). Un atacante autenticado podría explotar esta vulnerabilidad para realizar escalamiento de privilegios de administrador.
- CVE-2020-9054, de severidad crítica, con una puntuación asignada de 9.8. Esta vulnerabilidad se debe a una falla en la autenticación de varios dispositivos de almacenamiento que se encuentran conectados a la red (NAS) ZyXEL. Un atacante remoto no autenticado podría aprovechar esta vulnerabilidad para realizar ejecución remota de código (RCE).
- CVE-2021-35029, de severidad crítica, con una puntuación asignada de 9.8. Esta vulnerabilidad se debe a una falla en la autenticación en la interfaz de administración basada en web. Un atacante remoto podría aprovechar esta vulnerabilidad para realizar ejecución remota de código (RCE).
Los productos afectados de Zyxel son:
- VPN, ZyWALL, USG, ATP, USG FLEX en modo local con administración remota o VPN SSL.
Se recomienda acceder a la actualización proporcionado por Zyxel en el siguiente enlace:
Referencias: