1. Avisos de seguridad
  2. Zyxel lanza parches para corregir 15 fallas en dispositivos NAS, Firewall y AP
Fecha de publicación: Mié, 20/12/2023 - 16:30

Aviso de seguridad

Nivel de peligrosidad: Crítico

Descripción

Zyxel ha lanzado parches para abordar 15 problemas de seguridad, entre ellas 3 fallas críticas que podrían conducir a la omisión de autenticación y la inyección de comandos.

Las tres vulnerabilidades se enumeran a continuación:

CVE-2023-35138 (CVSS 9.8: critico) esta vulnerabilidad es una inyección de comandos en la función "show_zysync_server_contents" del firmware de Zyxel NAS326. Un atacante no autenticado puede aprovechar esta vulnerabilidad enviado una solicitud HTTP POST con un ocmando malicioso a la función "show_zysync_server_contents". El firmware de Zyxel ejecutará entonces el comando malicioso con privilegios del sistema.

CVE-2023-4473 (CVSS 9.8: rítico) esta vulnerabilidad es un inyección de comandos en el servidor WSGI del firmware de Zyxel NAS326. Un atacante no autenticado puede aprovechar esta vulnerabilidad enviando una solicitud HTTP con un comando malicioso a la dirección IP del servidor WSGI. El firmware de Zyxel NAS326 ejecutará entonces el comando malicioso con privilegios del sistema.


CVE-2023-4474 (CVSS 9.8: critico) esta vulnerabilidad es un inyección de comandos en el servidor HTTP del firmware de Zyxel NAS326. Un atacante no autenticado puede aprovechar esta vulnerabilidad enviando una solicitud HTTP con un comando malicioso a la dirección IP del servidor HTTP. El firmware de Zyxel NAS326 ejecutará entonces el comando malicioso con privilegios del sistema.

Zyxel también parchó tres fallas de alta gravedad ( CVE-2023-35137 , CVE-2023-37927 y CVE-2023-37928 ) que, si se explotan con éxito, podrían permitir a los atacantes obtener información del sistema y ejecutar comandos arbitrarios. Vale la pena señalar que tanto CVE-2023-37927 como CVE-2023-37928 requieren autenticación.

Recursos afectados

Los recursos afectados incluyen:

  • NAS326: versiones V5.21(AAZF.14)C0 y anteriores (parcheado en V5.21(AAZF.15)C0)
  • NAS542 - versiones V5.21(ABAG.11)C0 y anteriores (parcheado en V5.21(ABAG.12)C0)

Solución

Se debe actualizar a las siguientes versiones:

  • NAS326: versión V5.21(AAZF.15)C0 o posterior
  • NAS542 - versión V5.21(ABAG.12)C0 o posterior

Recomendaciones

Dado que los dispositivos Zyxel suelen ser explotados por actores de amenazas, se recomienda encarecidamente que los usuarios apliquen las últimas actualizaciones para mitigar amenazas potenciales.

Referencias

Zyxel lanza parches para corregir 15 fallas en dispositivos NAS, Firewall y AP