Sistemas Afectados
- NAS326 (V5.21(AAZF.13)C0 y anteriores
- NAS540 (V5.21(AATB.10)C0 y anteriores
- NAS542 (V5.21(ABAG.10)C0 y anteriores
Descripción
El proveedor de equipos Zyxel Networks ha lanzado actualizaciones de seguridad para abordar una falla de seguridad crítica en sus dispositivos de almacenamiento conectado a la red (NAS) que podría dar lugar a la ejecución de comandos arbitrarios (Remote Code Excution) en sistemas afectados. La vulnerabilidad identificada como CVE-2023-27992 (puntuación CVSS: 9.8), consiste en una inyección de comandos sin autenticación previa según lo descrito. Durante un aviso publicado, Zyxel dijo: “La vulnerabilidad de inyección de comandos pre-autenticación en algunos dispositivos NAS de Zyxel podría permitir que un atacante no autenticado ejecute algunos comandos del sistema operativo (SO) de forma remota enviando una solicitud HTTP manipulada”.
Referencia
Solución
Se recomienda actualizar y aplicar las versiones de los parches emitidos por el proveedor.
- NAS326 (V5.21(AAZF.13)C0 y anteriores –> parcheada en V5.21(AAZF.14)C0)
- NAS540 (V5.21(AATB.10)C0 y anteriores –> parcheada en V5.21(AATB.11)C0)
- NAS542 (V5.21(ABAG.10)C0 y anteriores –> parcheadas en V5.21(ABAG.11)C0)
Suscríbete a nuestro boletín de alertas
Enlaces de interés
- CNCS e Idoppril suscriben acuerdo en favor de ciberseguridad nacional
- República Dominicana reúne a líderes de los Equipos de Respuesta ante Incidentes Cibernéticos (CSIRT’s) nacionales de América Latina y el Caribe
- Centro de Ciberseguridad presenta Plataforma de Concientización en Ciberseguridad al Infotep
- CNCS e Idoppril suscriben acuerdo en favor de ciberseguridad nacional
- República Dominicana reúne a líderes de los Equipos de Respuesta ante Incidentes Cibernéticos (CSIRT’s) nacionales de América Latina y el Caribe
- Centro de Ciberseguridad presenta Plataforma de Concientización en Ciberseguridad al Infotep