Zyxel un fabricante de DSL “Digital Subscriber Line” una línea de abonado digital, tecnologías que proporcionan el acceso a Internet mediante la transmisión de datos digitales a través del par trenzado de hilos de cobre y otros dispositivos de red. Ha implementado actualizaciones de seguridad para abordar una falla de seguridad en sus dispositivos de almacenamiento conectado a la red (NAS).
Un NAS (Network Attached Storage) es un dispositivo de almacenamiento conectado a una red que permite a múltiples usuarios acceder y compartir datos de manera centralizada. Es esencialmente un servidor de archivos dedicado que está diseñado específicamente para el almacenamiento y la gestión de datos en red.
La vulnerabilidad, identificada como CVE-2023-27992 con severidad CRITICA y un puntaje base CVSS de 9.8 podría resultar en la ejecución de códigos remotos en los sistemas afectados, permitiendo que un atacante no autenticado ejecute algunos comandos del sistema operativo (SO) de forma remota mediante el envío de una solicitud HTTP manipulada.
Versiones Afectadas.
- NAS326 V5.21(AAZF.13)C0 y anterior.
- NAS540 V5.21(AATB.10)C0 y anterior.
- NAS542 V5.21(ABAG.10)C0 y anterior.
Recomendación.
Se recomienda a los usuarios que actualicen a las versiones parchadas para una protección óptima.
Versiones Parchadas.
- NAS326 V5.21(AAZF.14)C0.
- NAS540 V5.21(AATB.11)C0.
- NAS542 V5.21(ABAG.11)C0.
Referencias.
- https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-pre-authentication-command-injection-vulnerability-in-nas-products
- https://thehackernews.com/2023/06/zyxel-releases-urgent-security-updates.html
- https://nvd.nist.gov/vuln/detail/CVE-2023-27992
- https://www.tenable.com/cve/CVE-2023-27992