Zyxel ha implementado actualizaciones de seguridad para abordar una falla de seguridad crÃtica en sus dispositivos de almacenamiento conectado a la red (NAS) que podrÃa resultar en la ejecución de comandos arbitrarios en los sistemas afectados.
Registrado como CVE-2023-27992 (puntuación CVSS: 9,8), el problema se ha descrito como una vulnerabilidad de inyección de comando previa a la autenticación.
"La vulnerabilidad de inyección de comandos de autenticación previa en algunos dispositivos Zyxel NAS podrÃa permitir que un atacante no autenticado ejecute algunos comandos del sistema operativo (SO) de forma remota mediante el envÃo de una solicitud HTTP manipulada", dijo Zyxel en un aviso publicado hoy.
A Andrej Zaujec, NCSC-FI y Maxim Suslov se les atribuye el descubrimiento y la notificación de la falla. Las siguientes versiones se ven afectadas por CVE-2023-27992:
NAS326 (V5.21(AAZF.13)C0 y anterior, parcheado en V5.21(AAZF.14)C0),
NAS540 (V5.21(AATB.10)C0 y anterior, parcheado en V5.21(AATB.11)C0), y
NAS542 (V5.21(ABAG.10)C0 y anterior, parcheado en V5.21(ABAG.11)C0)
La alerta llega dos semanas después de que la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregara el lunes dos fallas en los firewalls Zyxel (CVE-2023-33009 y CVE-2023-33010) a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), según la evidencia. de explotación activa.
Con los dispositivos Zyxel convirtiéndose en un imán de ataque para los actores de amenazas, es imperativo que los clientes apliquen las correcciones lo antes posible para evitar riesgos potenciales.
¿Quieres saber más?