El fabricante de equipos de red Zyxel ha lanzado parches para una falla de seguridad crítica que afecta a sus dispositivos de almacenamiento conectado a la red (NAS).
rastreado como CVE-2022-34747 (puntuación CVSS: 9,8), el problema se relaciona con una «vulnerabilidad de cadena de formato» que afecta a los modelos NAS326, NAS540 y NAS542. Zyxel le dio crédito al investigador Shaposhnikov Ilya por informar sobre la falla.
«Se encontró una vulnerabilidad de cadena de formato en un binario específico de productos Zyxel NAS que podría permitir a un atacante lograr la ejecución remota no autorizada de código a través de un paquete UDP manipulado», dijo la compañía. dijo en un aviso publicado el 6 de septiembre.
La falla afecta a las siguientes versiones:
- NAS326 (V5.21 (AAZF.11) C0 y anterior)
- NAS540 (V5.21(AATB.8)C0 y anterior), y
- NAS542 (V5.21(ABAG.8)C0 y anterior)
La divulgación se produce cuando Zyxel abordó previamente la escalada de privilegios locales y las vulnerabilidades de cruce de directorios autenticados (CVE-2022-30526 y CVE-2022-2030) que afectó a sus productos de cortafuegos en julio.
Hackear dispositivos NAS se está convirtiendo en una práctica común. Si no toma precauciones o no mantiene el software actualizado, los atacantes pueden robar sus datos confidenciales y personales. En algunos casos, incluso logran eliminar datos de forma permanente.
En junio de 2022, también reparó una vulnerabilidad de seguridad (CVE-2022-0823) que dejó a los conmutadores de la serie GS1200 susceptibles a ataques de adivinación de contraseñas a través de un ataque de canal lateral de sincronización.