Vulnerabilidades críticas en NAS de Zyxel

Zyxel abordó una vulnerabilidad crítica, rastreada como CVE-2022-34747 , que afectaba a sus dispositivos de almacenamiento conectado a la red (NAS).

La vulnerabilidad CVE-2022-34747 (puntaje CVSS: 9.8) se clasifica como una vulnerabilidad de cadena de formato que reside en las versiones de firmware Zyxel NAS326 anteriores a V5.21 (AAZF.12) C0. Un atacante puede aprovechar la vulnerabilidad para lograr la ejecución remota no autorizada de código a través de un paquete UDP manipulado.

“Se encontró una vulnerabilidad de cadena de formato en un binario específico de productos Zyxel NAS que podría permitir a un atacante lograr la ejecución remota no autorizada de código a través de un paquete UDP manipulado”. lee el aviso publicado por el vendedor.

A continuación se muestra la lista de modelos afectados y los parches de firmware publicados por la empresa.

MODELO AFECTADOVERSIÓN AFECTADADISPONIBILIDAD DE PARCHES
NAS326V5.21 (AAZF.11) C0 y anteriorV5.21 (AAZF.12) C0
NAS540V5.21 (AATB.8) C0 y anteriorV5.21 (AATB.9) C0
NAS542V5.21 (ABAG.8) C0 y anteriorV5.21 (ABAG.9) C0

La vulnerabilidad fue reportada a Zyxel por Shaposhnikov Ilya.

En mayo de 2022, Zyxel lanzó actualizaciones de seguridad para abordar múltiples vulnerabilidades que afectan a múltiples productos, incluidos productos de firewall, AP y controlador de AP.

A continuación se muestra la lista de las cuatro vulnerabilidades, la más grave es una vulnerabilidad de inyección de comandos en algunos comandos CLI rastreados como CVE-2022-26532 (CVSS v3.1 7.8):

  • CVE-2022-0734 : Se identificó una vulnerabilidad de cross-site scripting en el programa CGI de algunas versiones de firewall que podría permitir a un atacante obtener cierta información almacenada en el navegador del usuario, como cookies o tokens de sesión, a través de un script malicioso.
  • CVE-2022-26531 : Se identificaron múltiples vulnerabilidades de validación de entrada incorrecta en algunos comandos CLI de algunos firewall, controlador de AP y versiones de AP que podrían permitir que un atacante local autenticado provoque un desbordamiento de búfer o una vulnerabilidad del sistema a través de una carga útil manipulada.
  • CVE-2022-26532 : una vulnerabilidad de inyección de comando en el comando CLI “packet-trace” de algunas versiones de firewall, controlador AP y AP podría permitir que un atacante local autenticado ejecute comandos arbitrarios del sistema operativo al incluir argumentos manipulados en el comando.
  • CVE-2022-0910 : Se ha encontrado una vulnerabilidad de omisión de autenticación causada por la falta de un mecanismo de control de acceso adecuado en el programa CGI de algunas versiones de firewall. La vulnerabilidad podría permitir que un atacante pase de la autenticación de dos factores a la autenticación de un factor a través de un cliente VPN IPsec.