Sintesi
Zyxel rilascia aggiornamenti di sicurezza per sanare 2 vulnerabilità presenti in diverse tipologie di dispositivi di rete e firewall.
Note (aggiornamento del 20/11/2024): la vulnerabilità CVE-2024-42057 risulta essere sfruttata attivamente in rete.
Rischio (aggiornato al 20/11/2024)
Stima d’impatto delle vulnerabilità sulla comunità di riferimento: ALTO/ARANCIONE (73,2/100)1.
Tipologia
- Arbitrary Code Execution
- Denial of Service
Prodotti e/o versioni affette
Zyxel
- 5G NR/4G LTE CPE
- DSL/Ethernet CPE
- Fiber ONT
- Security router
- Wi-Fi extender
- AP
- USG FLEX
- ATP
- USG FLEX 50(W)/USG20(W)-VPN
Per il dettaglio dei prodotti affetti si consiglia di consultare la sezione Product/Affected model dei bollettini di sicurezza Zyxel.
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni dei bollettini di sicurezza riportati nella sezione Riferimenti.
Identificatori univoci vulnerabilità (aggiornamento del 05/09/2024)
Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “critica” e “alta”:
Riferimenti
https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-multiple-vulnerabilities-in-firewalls-09-03-2024 (aggiornamento del 05/09/2024)
1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.
