Especialistas en ciberseguridad reportan la detección de dos vulnerabilidades críticas en Zyxel ZyWALL VPN2S, una popular solución firewall. Acorde al reporte, la explotación exitosa de estas fallas permitiría el despliegue de diversas variables de ciberataque.
A continuación se presentan breves descripciones de las fallas reportadas, además de sus respectivas claves de identificación y puntajes asignados según el Common Vulnerability Scoring System (CVSS).
CVE-2021-35027: Una falla de validación de entrada al procesar secuencias transversales de directorio en el servidor web permitiría a los actores de amenazas remotos enviar solicitudes HTTP especialmente diseñadas para acceder a archivos arbitrarios en el sistema afectado.
Esta es una falla de severidad media y recibió un puntaje CVSS de 6.5/10.
CVE-2021-35028: La validación de entrada incorrecta en el programa CGI permitirá a un usuario local pasar datos especialmente diseñados a la aplicación afectada y ejecutar comandos arbitrarios en el sistema objetivo.
La falla recibió un puntaje CVSS de 6.8/10 y su explotación resultaría en el compromiso total del sistema afectado.
Según el reporte, las fallas reportadas existen en las versiones ZyWALL VPN2S v1.12.
Solo una de estas fallas puede ser explotada de forma remota, no obstante, los usuarios de implementaciones afectadas no deben dejar pasar las actualizaciones, que ya están disponibles. Los expertos en ciberseguridad no han detectado intentos de explotación en escenarios reales.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).