Zyxel ha identificado y parcheado vulnerabilidades en dispositivos como CPE 4G LTE/5G NR, CPE DSL/Ethernet, ONT de fibra y extensores WiFi. Estas vulnerabilidades incluyen desbordamientos de búfer y vulnerabilidades de inyección de comandos post-autenticación. A continuación, se presentan los detalles:
- CVE-2024-8748 (CVSS 7.5): Un desbordamiento de búfer en la biblioteca de terceros «libclinkc» permite a atacantes causar condiciones de denegación de servicio (DoS) en la interfaz web de gestión al enviar solicitudes HTTP POST maliciosas a dispositivos vulnerables.
- CVE-2024-9200 (CVSS 7.2): Una vulnerabilidad de inyección de comandos post-autenticación en el parámetro «host» de la función de diagnóstico permite a un atacante autenticado ejecutar comandos del sistema operativo en dispositivos vulnerables. Esta vulnerabilidad depende de la seguridad de las credenciales de administrador y del acceso WAN deshabilitado por defecto.
- CVE-2024-9197 (CVSS 4.9): Un desbordamiento de búfer post-autenticación en el parámetro «action» de un programa CGI permite a un atacante autenticado causar condiciones de DoS en la interfaz web de gestión enviando solicitudes HTTP GET maliciosas.
| CVE | Producto Afectado | Versión Afectada | Solución |
| CVE-2024-8748 | 4G LTE/5G NR CPE, DSL/Ethernet CPE, Fiber ONT, Wi-Fi extender. | Versiones previas a la última actualización. | Actualizar a la última versión del firmware correspondiente a los modelos afectados proporcionada por Zyxel. |
| CVE-2024-9200 | DSL/Ethernet CPE. | ||
| CVE-2024-9197 | DSL/Ethernet CPE, Fiber ONT, Wi-Fi extender. |
Recomendaciones:
- Mantener el firmware de sus dispositivos actualizado a la última versión disponible.
- Configurar contraseñas de administrador fuertes y únicas para evitar accesos no autorizados.
- Deshabilitar funciones no utilizadas, como el acceso WAN y ZyEE, para reducir la superficie de ataque.
Referencias: