 |
Zyxel ha lanzado actualizaciones de seguridad para abordar una grave falla de seguridad en sus dispositivos de almacenamiento conectado a la red (NAS) que podría resultar en la ejecución de comandos arbitrarios en los sistemas afectados. Identificado como CVE-2023-27992 (puntuación CVSS: 9.8), el problema ha sido descrito como una vulnerabilidad de inyección de comandos de preautenticación. |
"La vulnerabilidad de inyección de comandos de preautenticación en algunos dispositivos NAS de Zyxel podría permitir a un atacante no autenticado ejecutar comandos del sistema operativo (SO) de forma remota mediante el envío de una solicitud HTTP manipulada", dijo Zyxel en un aviso publicado hoy.
Andrej Zaujec, NCSC-FI, y Maxim Suslov han sido acreditados por descubrir e informar sobre la falla. Las siguientes versiones se ven afectadas por CVE-2023-27992:
NAS326 (V5.21(AAZF.13)C0 y anteriores, corregido en V5.21(AAZF.14)C0), NAS540 (V5.21(AATB.10)C0 y anteriores, corregido en V5.21(AATB.11)C0), y NAS542 (V5.21(ABAG.10)C0 y anteriores, corregido en V5.21(ABAG.11)C0).
La alerta llega dos semanas después de que la Agencia de Seguridad de Ciberseguridad e Infraestructura de Estados Unidos (CISA) agregara dos fallas en los firewalls de Zyxel (CVE-2023-33009 y CVE-2023-33010) a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV, por sus siglas en inglés), basándose en evidencia de explotación activa.
Dado que los dispositivos Zyxel se han convertido en un imán para los actores de amenazas, es imperativo que los clientes apliquen las correcciones lo antes posible para prevenir posibles riesgos.
Fuente: https://thehackernews.com/2023/06/zyxel-releases-urgent-security-updates.html