El fabricante de equipos de red Zyxel ha lanzado parches para una falla de seguridad crítica que afecta a los dispositivos de almacenamiento conectado a la red (NAS).
Esta vulnerabilidad registrada como CVE-2022-34747 (puntuación CVSS: 9.8), se relaciona con una «vulnerabilidad de cadena de formato» en un binario específico de productos Zyxel NAS, que podría permitir a un atacante conseguir una ejecución remota no autorizada de código, a través de un paquete UDP manipulado.
A continuación, se muestran los productos Zyxel afectados por esta vulnerabilidad CVE-2022-34747:
| Modelo afectado | Versión afectada | Disponibilidad de parches |
| NAS326 | V5.21 (AAZF.11) C0 y anterior | V5.21 (AAZF.12) C0 |
| NAS540 | V5.21 (AATB.8) C0 y anterior | V5.21 (AATB.9) C0 |
| NAS542 | V5.21 (ABAG.8) C0 y anterior | V5.21 (ABAG.9) C0 |
El hackeo de dispositivos NAS se está convirtiendo en una práctica común. Si no se toman las precauciones debidas o no se mantiene el software actualizado, los atacantes podrían robar datos confidenciales y personales. En algunos casos, lograrían eliminar datos permanentemente.
Zyxel ha publicado parches de seguridad para los dispositivos afectados en forma de actualizaciones de firmware. Es recomendable que los usuarios instalen las actualizaciones de firmware para evitar posibles amenazas.
Para mayor información:
- https://thehackernews.com/2022/09/critical-rce-vulnerability-affects.html
- https://nvd.nist.gov/vuln/detail/CVE-2022-34747
- https://blogs.masterhacks.net/noticias/hacking-y-ciberdelitos/vulnerabilidad-rce-critica-afecta-a-los-dispositivos-zyxel-nas/
- https://securityonline.info/cve-2022-34747-zyxel-nas-products-unauthorized-remote-code-execution-flaw/