Ciberseguridad 360 | Zyxel advierte de vulnerabilidades críticas en dispositivos NAS

Zyxel ha solucionado varios problemas de seguridad, entre ellos tres cr�ticos que podr�an permitir a un atacante no autenticado ejecutar comandos del sistema operativo en dispositivos de almacenamiento conectados a la red (NAS) vulnerables.

Los sistemas NAS de Zyxel se utilizan para almacenar datos en una ubicaci�n centralizada de la red. Est�n dise�ados para grandes vol�menes de datos y ofrecen funciones como copia de seguridad de datos, transmisi�n multimedia u opciones de uso compartido personalizadas.

Entre los usuarios t�picos de Zyxel NAS se encuentran peque�as y medianas empresas que buscan una soluci�n que combine gesti�n de datos, trabajo remoto y funciones de colaboraci�n, as� como profesionales de TI que configuran sistemas de redundancia de datos, o vide�grafos y artistas digitales que trabajan con archivos de gran tama�o.

En un bolet�n de seguridad publicado hoy, el fabricante advierte de los siguientes fallos que afectan a los dispositivos NAS326 con la versi�n 5.21(AAZF.14)C0 y anteriores, y NAS542 con la versi�n 5.21(ABAG.11)C0 y anteriores.

CVE-2023-35137: Vulnerabilidad de autenticaci�n inadecuada en el m�dulo de autenticaci�n de los dispositivos NAS de Zyxel, que permite a atacantes no autenticados obtener informaci�n del sistema a trav�s de una URL manipulada. (puntuaci�n de gravedad alta de 7,5)

CVE-2023-35138: Fallo de inyecci�n de comandos en la funci�n "show_zysync_server_contents" de los dispositivos NAS de Zyxel, que permite a atacantes no autenticados ejecutar comandos del sistema operativo a trav�s de una solicitud HTTP POST manipulada. (puntuaci�n de gravedad cr�tica de 9,8)

CVE-2023-37927: Vulnerabilidad en el programa CGI de los dispositivos NAS de Zyxel, que permite a los atacantes autenticados ejecutar comandos del sistema operativo con una URL falsificada. (puntuaci�n de gravedad alta de 8,8)

CVE-2023-37928: Inyecci�n de comandos posterior a la autenticaci�n en el servidor WSGI de los dispositivos NAS de Zyxel, lo que permite a los atacantes autenticados ejecutar comandos del sistema operativo a trav�s de una URL manipulada. (puntuaci�n de gravedad alta de 8,8)

CVE-2023-4473: Fallo de inyecci�n de comandos en el servidor web de los dispositivos NAS de Zyxel, que permite a atacantes no autenticados ejecutar comandos del sistema operativo a trav�s de una URL manipulada. (puntuaci�n de gravedad cr�tica de 9,8)

CVE-2023-4474: Vulnerabilidad en el servidor WSGI de los dispositivos NAS de Zyxel, que permite a atacantes no autenticados ejecutar comandos del SO con una URL manipulada. (puntuaci�n de gravedad cr�tica de 9,8)

Los actores de amenazas podr�an explotar las vulnerabilidades mencionadas para obtener acceso no autorizado, ejecutar algunos comandos del sistema operativo, obtener informaci�n confidencial del sistema o tomar el control completo de los dispositivos NAS de Zyxel afectados.

Para hacer frente a estos riesgos, se recomienda a los usuarios de NAS326 que actualicen a la versi�n V5.21(AAZF.15)C0 o posterior. Los usuarios de NAS542 deben actualizar su firmware a la versi�n V5.21(ABAG.12)C0 o posterior, que corrige los fallos mencionados.

El proveedor no ha proporcionado consejos de mitigaci�n o soluciones, siendo la actualizaci�n del firmware la acci�n recomendada.

Fuente: bleepingcomputer