Zyxel es una empresa líder en soluciones de redes, conocida por ofrecer productos avanzados como firewalls, routers y soluciones de conectividad empresarial. En los últimos días, se ha identificado una vulnerabilidad crítica en sus firewalls, la cual está siendo explotada activamente para propagar ransomware y comprometer entidades.
- CVE-2024-11667 (CVSS 7.5): Esta vulnerabilidad es de tipo directory traversal y afecta al firmware ZLD de Zyxel. Permite a los atacantes realizar cargas y descargas no autorizadas de archivos a través de URLs específicamente diseñadas. Esta explotación puede dar lugar al compromiso de información sensible, incluyendo credenciales del sistema, que pueden ser utilizadas para actividades maliciosas como la creación de conexiones VPN fraudulentas y la modificación de políticas de seguridad del firewall. Adicionalmente, se ha informado que esta vulnerabilidad está siendo aprovechada para desplegar el ransomware Helldown, el cual utiliza tácticas avanzadas, incluyendo movimientos laterales en redes comprometidas, para maximizar el impacto.
Productos y versiones afectadas:
- Firewalls de las series Zyxel ATP y USG FLEX Versiones V5.00 hasta V5.38
- Dispositivos con firmware ZLD en versiones 4.32 a 5.38.
Solución:
- Actualizar el firmware a la versión ZLD 5.39.
Recomendaciones:
- Actualizar inmediatamente todas las contraseñas de las cuentas de usuario en los sistemas afectados.
- Implementar monitoreo de red robusto para identificar actividades anómalas.
- Deshabilitar servicios no esenciales como la gestión remota y VPN SSL si no son críticos.
Referencias: