Especialistas en ciberseguridad reportan la detección de algunas vulnerabilidades en los enrutadores Zyxel Armor, empleados principalmente en entornos domésticos. Según el reporte, la explotación exitosa de estas fallas permitiría a los actores de amenazas comprometer totalmente el sistema afectado.
A continuación se presentan breves descripciones de las fallas reportadas, además de sus respectivas claves de identificación y puntajes asignados según el Common Vulnerability Scoring System (CVSS).
CVE-2021-4029: La validación incorrecta de entradas en los dispositivos afectados permitiría a los actores de amenazas ejecutar comandos arbitrarios en los sistemas vulnerables.
Esta es una vulnerabilidad de severidad baja y recibió una puntuación CVSS de 7.3/10.
CVE-2021-4030: Por otra parte, esta falla existe debido a la insuficiente sanitización de los datos proporcionados por el usuario en el daemon HTTP. Los actores de amenazas pueden usar un sitio web especialmente diseñado para ejecutar código HTML y scripts arbitrarios en el navegador del usuario en el contexto de un sitio web vulnerable.
Esta es una vulnerabilidad de baja severidad y recibió un puntaje CVSS de 5.3/10.
Según el reporte, las fallas residen en los siguientes modelos y versiones de enrutadores:
- Armor Z1 (NBG6816): Todas las versiones
- Armor Z2 (NBG6817): versiones anteriores a 1.00 (ABCS.11)C0
Si bien las fallas pueden ser explotadas por actores de amenazas no autenticados a través de Internet, hasta el momento no se han detectado intentos de explotación activa. Aún así, Zyxel recomienda a los usuarios de implementaciones afectadas aplicar las actualizaciones disponibles a la brevedad para mitigar completamente el riesgo de explotación.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
