Zyxel ha implementado actualizaciones de seguridad para solucionar una vulnerabilidad crítica en sus dispositivos de almacenamiento en red (NAS) que podría dar lugar a la ejecución de comandos arbitrarios en los sistemas afectados.
Identificado como CVE-2023-27992 (puntuación CVSS: 9.8), el problema ha sido descrito como una vulnerabilidad de inyección de comandos antes de la autenticación.
«La vulnerabilidad de inyección de comandos antes de la autenticación en algunos dispositivos NAS de Zyxel podría permitir que un atacante sin autenticar ejecute comandos del sistema operativo (SO) de manera remota al enviar una solicitud HTTP manipulada», señaló Zyxel en un aviso publicado hoy.
Andrej Zaujec, NCSC-FI, y Maxim Suslov han sido reconocidos por descubrir e informar de la falla. Las siguientes versiones se ven afectadas por CVE-2023-27992:
- NAS326 (V5.21(AAZF.13)C0 y versiones anteriores, corregido en V5.21(AAZF.14)C0),
- NAS540 (V5.21(AATB.10)C0 y versiones anteriores, corregido en V5.21(AATB.11)C0), y
- NAS542 (V5.21(ABAG.10)C0 y versiones anteriores, corregido en V5.21(ABAG.11)C0).
La alerta se produce dos semanas después de que la Agencia de Seguridad Cibernética e Infraestructura de los Estados Unidos (CISA) agregara dos fallas en los firewalls de Zyxel (CVE-2023-33009 y CVE-2023-33010) a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), basándose en pruebas de explotación activa.
Dado que los dispositivos Zyxel se están convirtiendo en un imán para los actores de amenazas, es crucial que los clientes apliquen las correcciones lo más pronto posible para evitar posibles riesgos.
