Sistemas Afectados
- NAS326 (V5.21(AAZF.13)C0 y anteriores
- NAS540 (V5.21(AATB.10)C0 y anteriores
- NAS542 (V5.21(ABAG.10)C0 y anteriores
Descripción
El proveedor de equipos Zyxel Networks ha lanzado actualizaciones de seguridad para abordar una falla de seguridad crítica en sus dispositivos de almacenamiento conectado a la red (NAS) que podría dar lugar a la ejecución de comandos arbitrarios (Remote Code Excution) en sistemas afectados. La vulnerabilidad identificada como CVE-2023-27992 (puntuación CVSS: 9.8), consiste en una inyección de comandos sin autenticación previa según lo descrito. Durante un aviso publicado, Zyxel dijo: “La vulnerabilidad de inyección de comandos pre-autenticación en algunos dispositivos NAS de Zyxel podría permitir que un atacante no autenticado ejecute algunos comandos del sistema operativo (SO) de forma remota enviando una solicitud HTTP manipulada”.
Referencia
Solución
Se recomienda actualizar y aplicar las versiones de los parches emitidos por el proveedor.
- NAS326 (V5.21(AAZF.13)C0 y anteriores –> parcheada en V5.21(AAZF.14)C0)
- NAS540 (V5.21(AATB.10)C0 y anteriores –> parcheada en V5.21(AATB.11)C0)
- NAS542 (V5.21(ABAG.10)C0 y anteriores –> parcheadas en V5.21(ABAG.11)C0)
Suscríbete a nuestro boletín de alertas
Enlaces de interés
- ¡Juventud y Tecnología! Aprendiendo a proteger el futuro digital del país
- Charla sobre ciberseguridad fomenta uso responsable de la tecnología en centros educativos
- Centro Nacional de Ciberseguridad y Consejo de Coordinación de la Zona Especial de Desarrollo Fronterizo firman acuerdo de cooperación interinstitucional
- ¡Juventud y Tecnología! Aprendiendo a proteger el futuro digital del país
- Charla sobre ciberseguridad fomenta uso responsable de la tecnología en centros educativos
- Centro Nacional de Ciberseguridad y Consejo de Coordinación de la Zona Especial de Desarrollo Fronterizo firman acuerdo de cooperación interinstitucional