Zyxel ha lanzado actualizaciones de seguridad que resuelven un total de 5 nuevas vulnerabilidades en algunos dispositivos NAS que han alcanzado su período de fin de soporte (EOL).
Productos Afectados:
- NAS326, versión de firmware 5.21(AAZF.16)C0 y anteriores .
- NAS542, versión de firmware V5.21(ABAG.13)C0 y anteriores.
Impacto de la vulnerabilidad:
- CVE-2024-29972 (CVSSv3 de 9.8, severidad crítica), vulnerabilidad de tipo inyección de comandos en el programa CGI «remote_help-cgi». Esta vulnerabilidad podría permitir a un actor malicioso no autenticado ejecutar comandos del sistema operativo (SO) a traves de una solicitud HTTP POST modificada.
- CVE-2024-29973 (CVSSv3 de 9.8, severidad crítica), vulnerabilidad de tipo inyección de comandos en el parámetro «setCookie». Esta vulnerabilidad podría permitir a un actor malicioso ejecutar comandos del sistema operativo (SO) enviando una solicitud HTTP POST modificada.
- CVE-2024-29974 (CVSSv3 de 9.8, severidad crítica), vulnerabilidad de tipo ejecución remota de código (RCE) en el programa CGI «file_upload-cgi» que afecta a los dispositivos Zyxel NAS. Esta vulnerabilidad podría permitir a un actor malicioso cargar un archivo de configuración modificado en un dispositivo vulnerable, lo que le permitiría ejecutar código arbitrario en el sistema.
- CVE-2024-29975 (CVSSv3 de 6.7, severidad media), vulnerabilidad de tipo administración de privilegios inadecuada en el binario ejecutable SUID, podría permitir a un actor malicioso con privilegios de administrador, ejecutar algunos comandos del sistema como usuario «root» .
- CVE-2024-29976 (CVSSv3 de 6.5, severidad media), vulnerabilidad de tipo administración de privilegios inadecuada en el comando «show_allsessions». Esta vulnerabilidad podría permitir a un actor malicioso autenticado obtener información de la sesión de un administrador que ha iniciado sesión y que contiene cookies en un dispositivo afectado.
Recomendación:
Se recomienda actualizar los productos a la versión más reciente disponible desde en pagina oficial del fabricante.
Referencia:
- https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-multiple-vulnerabilities-in-nas-products-06-04-2024
- https://nvd.nist.gov/vuln/detail/CVE-2024-29972
- https://nvd.nist.gov/vuln/detail/CVE-2024-29973
- https://www.incibe.es/en/incibe-cert/early-warning/vulnerabilities/cve-2024-29974