(https://i.postimg.cc/KjbV93m1/zyxel.png) (https://postimages.org/)
Zyxel Networks ha lanzado una actualización de seguridad de emergencia para abordar tres vulnerabilidades críticas que afectan a los dispositivos NAS más antiguos que han llegado al final de su vida útil.
Las fallas afectan a NAS326 con versiones de firmware 5.21(AAZF.16)C0 y anteriores, y a NAS542 con versiones de firmware 5.21(ABAG.13)C0 y anteriores.
El proveedor de soluciones de red abordó tres fallas críticas, que permiten a los atacantes realizar inyección de comandos y ejecución remota de código. Sin embargo, dos de las fallas que permitían la escalada de privilegios y la divulgación de información no se solucionaron en los productos al final de su vida útil.
El investigador de seguridad de Outpost24, Timothy Hjort, descubrió e informó las cinco vulnerabilidades a Zyxel. Hoy, los investigadores publicaron un artículo detallado y pruebas de concepto (PoC) en coordinación con la divulgación de Zyxel.
outpost24.com/blog/zyxel-nas-critical-vulnerabilities/
Las fallas reveladas se enumeran a continuación, y Zixel solo solucionó CVE-2024-29972, CVE-2024-29973 y CVE-2024-29974:
CVE-2024-29972: Fallo de inyección de comando en el programa CGI ('remote_help-cgi') que permite a un atacante no autenticado enviar una solicitud HTTP POST especialmente diseñada para ejecutar comandos del sistema operativo utilizando una cuenta de puerta trasera NsaRescueAngel que tiene privilegios de root.
CVE-2024-29973: Fallo de inyección de comando en el parámetro 'setCookie', que permite a un atacante enviar una solicitud HTTP POST especialmente diseñada para ejecutar comandos del sistema operativo.
CVE-2024-29974: Error de ejecución remota de código en el programa CGI ('file_upload-cgi'), que permite a un atacante no autenticado cargar archivos de configuración maliciosos en el dispositivo.
CVE-2024-29975: Fallo de gestión de privilegios inadecuado en el binario ejecutable SUID que permite a un atacante local autenticado con derechos de administrador ejecutar comandos del sistema como usuario "root". (No arreglado)
CVE-2024-29976: Problema de gestión de privilegios inadecuados en el comando 'show_allsessions', lo que permite a un atacante autenticado obtener información de la sesión, incluidas las cookies de administrador activas. (No arreglado)
Aunque ambos modelos NAS llegaron al final de su período de soporte el 31 de diciembre de 2023, Zyxel lanzó correcciones para las tres fallas críticas en las versiones 5.21(AAZF.17)C0 para NAS326 y 5.21(ABAG.14)C0 para NAS542.
"Debido a la gravedad crítica de las vulnerabilidades CVE-2024-29972, CVE-2024-29973 y CVE-2024-29974, Zyxel ha puesto parches a disposición de los clientes [...] a pesar de que los productos ya han alcanzado el fin del soporte", se lee en un aviso de seguridad de Zyxel.
Zyxel dice que no ha observado la vulnerabilidad explotada en la naturaleza. Sin embargo, como ahora existen exploits de prueba de concepto públicos, los propietarios deben aplicar las actualizaciones de seguridad lo antes posible.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/zyxel-issues-emergency-rce-patch-for-end-of-life-nas-devices/