La falla afectaba a 30 modelos de puntos de acceso y cuatro series de firewalls, lo que les permitía a los hackers bloquear y controlar los dispositivos.

Zyxel, fabricante de dispositivos de red, le agradeció a Nikita Abramov, investigador de Seguridad de Positive Technologies, por descubrir seis vulnerabilidades de hardware: cinco de ellas tenían un nivel de gravedad alto. Se notificó al proveedor acerca de la amenaza como parte de la política de divulgación responsable, y se lanzaron parches para solucionar los problemas.

Según Positive Technologies, 23 000 dispositivos podrían haberse visto afectados¹. Se encontraron cerca de 8000 sistemas de este tipo en Italia, 4500 en Francia y más de 2000 en República Checa y Estados Unidos.

“CVE-2023-22913 y CVE-2023-22916 presentan la mayor amenaza, ya que tienen una puntuación de 8,1 en la escala CVSS v3.1”, explicó Nikita Abramov, experto en Análisis de Aplicaciones de Positive Technologies. “Estos dos errores permitían que un atacante inyectara de forma remota comandos arbitrarios del sistema en el código de la aplicación y los ejecutara en el firewall. Como resultado, el intruso podía causar una falla de dispositivo al desencadenar un estado de denegación de servicio, deshabilitar algunas funciones de seguridad o cambiar los datos de configuración. Cualquiera de estos eventos supone una grave amenaza al funcionamiento normal del firewall. Otra forma de explotar dispositivos desprotegidos es implementar redes de bots, que los hackers utilizan mucho”.

Las siguientes dos vulnerabilidades, CVE-2023-22915 y CVE-2023-22917, obtuvieron una puntuación de 7,5 sobre 10. Si se explotaban, la primera vulnerabilidad podía provocar un estado de denegación de servicio del firewall, mientras que la siguiente permitía la carga de un archivo malicioso, lo que les podía otorgar a los hackers control sobre el dispositivo. A CVE-2023-22914 se le asignó una puntuación de gravedad ligeramente inferior (7,2). Con esta vulnerabilidad, un atacante autenticado con privilegios de administrador podía ejecutar comandos del sistema operativo no autorizados en una de las carpetas utilizadas para almacenar archivos temporales de firewall.

Otra vulnerabilidad, CVE-2023-22918, obtuvo una puntuación de 6,5 y era peligrosa tanto para los firewalls como para los puntos de acceso de Zyxel. Permitía que un atacante autenticado obtuviera información de administrador cifrada del dispositivo. Al utilizar esta información junto con scripts disponibles públicamente, los intrusos podían descifrar datos, incluidas las contraseñas de los usuarios.

Para solucionar la vulnerabilidad, siga las recomendaciones del proveedor.

A comienzos de 2023, Zyxel ya había eliminado cuatro debilidades que había encontrado Nikita Abramov en varias series de enrutadores Wi-Fi y otros dispositivos.

1. Los expertos contaron la cantidad de dispositivos con firmware vulnerable que son visibles en Internet, pero algunas de las funciones que afectan las vulnerabilidades podrían deshabilitarse por defecto.