Zyxel ha lanzado parches para abordar 15 problemas de seguridad que afectan a los dispositivos de almacenamiento conectado a la red (NAS), firewall y punto de acceso (AP), incluidas tres fallas críticas que podrían conducir a la omisión de autenticación y la inyección de comandos.
El tres vulnerabilidades están enlistados debajo –
- CVE-2023-35138 (Puntuación CVSS: 9,8): una vulnerabilidad de inyección de comandos que podría permitir que un atacante no autenticado ejecute algunos comandos del sistema operativo enviando una solicitud HTTP POST diseñada.
- CVE-2023-4473 (Puntuación CVSS: 9,8): una vulnerabilidad de inyección de comandos en el servidor web que podría permitir que un atacante no autenticado ejecute algunos comandos del sistema operativo enviando una URL diseñada a un dispositivo vulnerable.
- CVE-2023-4474 (Puntuación CVSS: 9,8): una neutralización inadecuada de la vulnerabilidad de elementos especiales que podría permitir que un atacante no autenticado ejecute algunos comandos del sistema operativo enviando una URL diseñada a un dispositivo vulnerable.
Zyxel también corrigió tres fallas de alta gravedad (CVE-2023-35137, CVE-2023-37927y CVE-2023-37928) que, si se explota con éxito, podría permitir a los atacantes obtener información del sistema y ejecutar comandos arbitrarios. Vale la pena señalar que tanto CVE-2023-37927 como CVE-2023-37928 requieren autenticación.
Los defectos afectan a los siguientes modelos y versiones:
- NAS326: versiones V5.21(AAZF.14)C0 y anteriores (parcheado en V5.21(AAZF.15)C0)
- NAS542 – versiones V5.21(ABAG.11)C0 y anteriores (parcheado en V5.21(ABAG.12)C0)
El aviso llega días después de que el proveedor de redes taiwanés correcciones enviadas para nueve fallas en versiones seleccionadas de firewall y punto de acceso (AP), algunos de los cuales podrían usarse como armas para acceder a archivos del sistema y registros del administrador, así como también causar una condición de denegación de servicio (DoS).
Dado que los dispositivos Zyxel suelen ser explotados por actores de amenazas, se recomienda encarecidamente que los usuarios apliquen las últimas actualizaciones para mitigar amenazas potenciales.