CVE-2023-28771: vulnerabilità critica di esecuzione di codice da remoto nei firewall Zyxel

CVE-2023-28771 è una vulnerabilità di tipo OS Command Injection con un punteggio CVSS v3.1 critico di 10.0 (AV:N/AC:L/Au:N/C:C/I:C/A:C). Questa gravità è dovuta alla possibilità di sfruttamento attraverso la rete, alla bassa complessità dell’attacco e all’assenza di necessità di autenticazione. La vulnerabilità è stata attivamente sfruttata in ambienti reali, motivo per cui è stata inserita nel catalogo delle vulnerabilità sfruttate noto di CISA il 31 maggio 2023. Tentativi di sfruttamento osservati, incluso un picco concentrato il 16 giugno 2023, hanno coinvolto 244 indirizzi IP malevoli univoci, con indicatori coerenti con varianti del botnet Mirai. In particolare, questa vulnerabilità è stata un vettore critico in un attacco informatico su larga scala contro infrastrutture critiche danesi, attribuito all’agenzia di intelligence militare russa GRU, che ha preso di mira 22 aziende energetiche e i loro sistemi di controllo industriale (ICS).

Data 2025-06-23 17:09:46

Riassunto tecnico

La vulnerabilità deriva da una “gestione impropria dei messaggi di errore” all’interno dei decoder di pacchetti Internet Key Exchange (IKE) di Zyxel. Questo difetto consente a un attaccante non autenticato di ottenere l’esecuzione di codice da remoto (RCE) inviando pacchetti appositamente predisposti al dispositivo vulnerabile. Lo sfruttamento prende di mira specificamente il decoder di pacchetti IKE che opera sulla porta UDP 500. La natura pre-autenticazione e la possibilità di falsificare indirizzi IP sulla porta UDP 500 complicano l’attribuzione e ampliano la superficie di attacco.

I prodotti Zyxel interessati e le relative versioni firmware vulnerabili includono:

  • serie ATP: ZLD V4.60 a V5.35
  • serie USG FLEX: ZLD V4.60 a V5.35
  • serie VPN: ZLD V4.60 a V5.35
  • serie ZyWALL/USG: ZLD V4.60 a V4.73

Raccomandazioni

Applicare patch immediatamente: aggiornare tutti i firewall Zyxel interessati alle versioni firmware più recenti che risolvono questa vulnerabilità.
Per le serie ATP, USG FLEX e VPN: aggiornare a ZLD V5.36.
Per la serie ZyWALL/USG: aggiornare a ZLD V4.73 Patch 1.

Limitare l’esposizione: applicare filtri di rete per ridurre l’esposizione non necessaria della porta UDP 500 sulle interfacce WAN, garantendo che solo accessi VPN legittimi siano esposti.
Limitare l’accesso remoto a tutti i dispositivi di rete, in particolare le interfacce amministrative, imponendo un’autenticazione forte come MFA e IP whitelisting.

Rafforzare i controlli: implementare e far rispettare la segmentazione della rete per i sistemi critici, in particolare tra le reti IT e OT, per limitare i movimenti laterali in caso di compromissione.
Monitorare attivamente attività post-sfruttamento, come connessioni in uscita insolite o processi non autorizzati, poiché uno sfruttamento riuscito può portare all’arruolamento in botnet o ad ulteriori compromissioni.
Disattivare l’uso di dispositivi dichiarati end-of-life (EOL) in ambienti di produzione o esposti a Internet se non possono essere aggiornati.

Vuoi garantire la massima sicurezza informatica alla tua azienda? ISGroup SRL è qui per aiutarti con soluzioni di cyber security su misura per la tua azienda.

Vuoi che gestiamo tutto noi per te? Il servizi di Virtual CISO e di gestione delle vulnerabilità sono perfetti per la tua organizzazione.

Hai già le idee chiare su quello che ti serve? Esplora i nostri servizi di:

E molto altro. Proteggi la tua azienda con i migliori esperti di cybersecurity!

In