Zyxel ha publicado actualizaciones de seguridad para solucionar fallas críticas que afectan a dos de sus dispositivos de almacenamiento conectados a la red (NAS) que actualmente han alcanzado el estado de fin de vida (EoL).
La explotación exitosa de tres de las cinco vulnerabilidades podría permitir a un atacante no autenticado ejecutar comandos del sistema operativo (OS) y código arbitrario en las instalaciones afectadas.
Los modelos afectados incluyen el NAS326 que ejecuta versiones V5.21(AAZF.16)C0 y anteriores, y el NAS542 que ejecuta versiones V5.21(ABAG.13)C0 y anteriores. Las deficiencias se han resuelto en las versiones V5.21(AAZF.17)C0 y V5.21(ABAG.14)C0, respectivamente.
Las vulnerabilidades son las siguientes:
– CVE-2024-29972: Vulnerabilidad de inyección de comandos en el programa CGI «remote_help-cgi».
– CVE-2024-29973: Vulnerabilidad de inyección de comandos en el parámetro ‘setCookie’.
– CVE-2024-29974: Vulnerabilidad de ejecución remota de código en el programa CGI ‘file_upload-cgi’.
– CVE-2024-29975: Vulnerabilidad de gestión de privilegios inadecuada en el binario ejecutable SUID.
– CVE-2024-29976: Vulnerabilidad de gestión de privilegios inadecuada en el comando ‘show_allsessions’.
El investigador de seguridad de Outpost24, Timothy Hjort, ha sido acreditado por descubrir y reportar las cinco fallas. Dos de las fallas de escalada de privilegios que requieren autenticación permanecen sin parches.
No hay evidencia de que los problemas hayan sido explotados en la naturaleza, pero se recomienda a los usuarios que actualicen a la última versión para una protección óptima.
Vía The Hacker News
