CVE-2023-28771 es una vulnerabilidad de tipo OS Command Injection con una puntuación CVSS v3.1 crítica de 10.0 (AV:N/AC:L/Au:N/C:C/I:C/A:C). Esta gravedad se debe a la posibilidad de explotación a través de la red, la baja complejidad del ataque y la ausencia de necesidad de autenticación. La vulnerabilidad ha sido explotada activamente en entornos reales, motivo por el cual fue incluida en el catálogo de vulnerabilidades explotadas conocidas de CISA el 31 de mayo de 2023. Los intentos de explotación observados, incluido un pico concentrado el 16 de junio de 2023, involucraron a 244 direcciones IP maliciosas únicas, con indicadores coherentes con variantes de la botnet Mirai. En particular, esta vulnerabilidad fue un vector crítico en un ciberataque a gran escala contra infraestructuras críticas danesas, atribuido a la agencia de inteligencia militar rusa GRU, que tuvo como objetivo a 22 empresas energéticas y sus sistemas de control industrial (ICS).

Fecha

2025-06-23 17:09:46

Resumen técnico

La vulnerabilidad deriva de una “gestión inadecuada de los mensajes de error” dentro de los decodificadores de paquetes Internet Key Exchange (IKE) de Zyxel. Este defecto permite a un atacante no autenticado obtener la ejecución remota de código (RCE) enviando paquetes especialmente diseñados al dispositivo vulnerable. La explotación se dirige específicamente al decodificador de paquetes IKE que opera en el puerto UDP 500. La naturaleza pre-autenticación y la posibilidad de falsificar direcciones IP en el puerto UDP 500 complican la atribución y amplían la superficie de ataque.

Los productos Zyxel afectados y las versiones de firmware vulnerables correspondientes incluyen:

• serie ATP: ZLD V4.60 a V5.35
• serie USG FLEX: ZLD V4.60 a V5.35
• serie VPN: ZLD V4.60 a V5.35
• serie ZyWALL/USG: ZLD V4.60 a V4.73

Recomendaciones

Aplicar parches inmediatamente: actualizar todos los firewalls Zyxel afectados a las versiones de firmware más recientes que resuelven esta vulnerabilidad.
Para las series ATP, USG FLEX y VPN: actualizar a ZLD V5.36.
Para la serie ZyWALL/USG: actualizar a ZLD V4.73 Patch 1.

Limitar la exposición: aplicar filtros de red para reducir la exposición innecesaria del puerto UDP 500 en las interfaces WAN, asegurando que solo se expongan accesos VPN legítimos.
Limitar el acceso remoto a todos los dispositivos de red, especialmente a las interfaces administrativas, imponiendo una autenticación fuerte como MFA y listas blancas de IP (IP whitelisting).

Reforzar los controles: implementar y hacer cumplir la segmentación de la red para los sistemas críticos, especialmente entre las redes IT y OT, para limitar los movimientos laterales en caso de compromiso.
Monitorear activamente las actividades post-explotación, como conexiones salientes inusuales o procesos no autorizados, ya que una explotación exitosa puede llevar al reclutamiento en botnets o a compromisos adicionales.
Desactivar el uso de dispositivos declarados como fin de vida útil (EOL) en entornos de producción o expuestos a Internet si no pueden ser actualizados.

[Callforaction-THREAT-Footer]