Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

HackerHood di RHC scopre una Command Injection sui prodotti Zyxel

Redazione RHC : 3 Settembre 2024 08:29

Il gruppo hacker di Red Hot Cyber, HackerHood ha scoperto un nuovo 0day sui dispositivi di sicurezza della Zyxel. Questa vulnerabilità di sicurezza è stata scoperta dai ricercatori di sicurezza Alessandro Sgreccia e Manuel Roccon, membri del team di HackerHood, durante le attività di ricerca che svolgono costantemente sugli apparati di Zyxel.

All’interno delle attività di ricerca svolte dal team sugli apparati di Zyxel, è stato individuato ub bug di sicurezza (alcuni sono ancora in gestione dal fornitore) che è stato immediatamente comunicato a Zyxel seguendo le best-practices internazionali della Coordinate Vulnerability Disclosure (CVD).

Le nuove vulnerabilità rilevate su Zyxel

Codice CVEDescrizione
CVE-2024-7203A post-authentication command injection vulnerability in Zyxel ATP series firmware versions from V4.60 through V5.38 and USG FLEX series firmware versions from V4.60 through V5.38 could allow an authenticated attacker with administrator privileges to execute some operating system (OS) commands on an affected device by executing a crafted CLI command.

Sponsorizza la prossima Red Hot Cyber Conference!

Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference
Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. 
Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. 
Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.



Supporta RHC attraverso:
 

  1. L'acquisto del fumetto sul Cybersecurity Awareness
  2. Ascoltando i nostri Podcast
  3. Seguendo RHC su WhatsApp
  4. Seguendo RHC su Telegram
  5. Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber

Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.
 

CVE-2024-7203 è una vulnerabilità di iniezione di comandi che colpisce le versioni del firmware (V4.60 – V5.38) dei dispositivi delle serie Zyxel ATP e USG FLEX. Questa falla permette a un attaccante autenticato con privilegi amministrativi di eseguire comandi arbitrari del sistema operativo, sfruttando comandi CLI appositamente costruiti. La vulnerabilità è classificata come ad alta gravità, con un punteggio CVSS di 7.2, indicando un rischio significativo per l’integrità e la riservatezza del sistema.

Puoi trovare maggiori dettagli nell’avviso ufficiale di Zyxel.

Il gruppo hacker di HackerHood

Il gruppo HackerHood, è un gruppo della community di Red Hot Cyber che si è specializzato nelle attività tecnico specialistiche finalizzate all’incentivazione verso la collaborazione attraverso le attività di ethical hacking (penetration test e ricerca 0day), programmazione e malware Analysis.

Uno tra i programmi del gruppo di HackerHood è appunto l’identificazione di bug non documentati (c.d. 0day), dove i membri del team una volta rilevate le vulnerabilità 0day su prodotti di largo consumo, collaborano con i vendor di prodotto per migliorare la sicurezza informatica.

Le attività si svolgono attraverso il processo di Coordinate Vulnerability Disclosure e solo a valle della pubblicazione della fix da parte dei vendor si procede alla disclosure pubblica e alla diffusione di eventuali Proof of Concept (PoC).

Un altro programma di HackerHood è lo svolgimento di attività di penetration test su infrastrutture ICT di aziende italiane che abbracciano politiche di “Responsible disclosure”. Tutto questo consente di dare un contributo al comparto Italia e quindi aiutare le aziende a migliorare la propria sicurezza informatica oltre che incentivare altre persone a fare lo stesso.

Quindi, se sei un analista di sicurezza con skill di ethical hacking o un ricercatore di bug che sposi il Manifesto di HackerHood, potresti essere anche tu un membro di HackerHood. Scrivici quindi alla casella di posta del team: [email protected]

“Tieni Il Mento Alto. Un Giorno Ci Sarà Di Nuovo La Felicità A Nottingham, Vedrai.” (Robin Hood)

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Addio star di carne e ossa? Arriva Tilly Norwood, la prima attrice AI!
Di Redazione RHC - 30/09/2025

In un settore un tempo dominato da star dal vivo, i personaggi digitali si stanno facendo sempre più strada. Durante un summit a Zurigo, Ellin van der Velden, attrice, comica e tecnologa, ha annuncia...

Da user a root in un secondo! il CISA avverte: milioni di OS a rischio. Patchate!
Di Redazione RHC - 30/09/2025

La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha aggiunto una vulnerabilità critica nella popolare utility Sudo, utilizzata su sistemi Linux e Unix-like, al suo catalog...

Gestione della crisi digitale: la comunicazione è la chiave tra successo o fallimento
Di Redazione RHC - 30/09/2025

Negli ultimi anni gli attacchi informatici sono diventati una delle principali minacce per le aziende, indipendentemente dal settore. Se i reparti tecnici si concentrano sulla risoluzione dei problemi...

Un’estensione barzelletta e cade Chat Control! Houston, abbiamo un problema… di privacy
Di Sergio Corpettini - 30/09/2025

Nel 2025 l’Unione Europea vuole avere il controllo totale sulle chat private. Il Regolamento “Chat Control” (proposta COM(2022)209) promette di combattere la pornografia minorile con la scansion...

0-day 0-click su WhatsApp! un’immagine basta per prendere il controllo del tuo iPhone
Di Redazione RHC - 29/09/2025

Qualche produttore di spyware starà probabilmente facendo ginnastica… strappandosi i capelli. Ma ormai è il solito teatrino: c’è chi trova, chi incassa, chi integra e poi arriva il ricercatore ...