[SA] Aviso de seguridad - Zyxel security advisory for authentication bypass and command injection vulnerabilities in NAS products

Creación - Actualización
Serhii Boiarynov
Print Friendly and PDF
¿Tiene más preguntas? Enviar una solicitud

Aviso importante:
Estimado cliente, tenga en cuenta que utilizamos traducción automática para proporcionar artículos en su idioma local. Es posible que no todo el texto se traduzca con exactitud. Si tiene dudas o discrepancias sobre la exactitud de la información en la versión traducida, consulte el artículo original aquí:Versión original

CVEs: CVE-2023-35137, CVE-2023-35138, CVE-2023-37927, CVE-2023-37928, CVE-2023-4473, CVE-2023-4474

Resumen

Zyxel ha publicado parches que solucionan una vulnerabilidad de omisión de autenticación y vulnerabilidades de inyección de comandos en productos NAS. Se recomienda a los usuarios que los instalen para una protección óptima.

¿Cuáles son las vulnerabilidades?

CVE-2023-35137

Una vulnerabilidad de autenticación incorrecta en el módulo de autenticación de los dispositivos NAS de Zyxel podría permitir a un atacante no autenticado obtener información del sistema enviando una URL manipulada a un dispositivo vulnerable.

CVE-2023-35138

Una vulnerabilidad de inyección de comandos en la función "show_zysync_server_contents" de los dispositivos NAS de Zyxel podría permitir a un atacante no autenticado ejecutar algunos comandos del sistema operativo (SO) enviando una solicitud HTTP POST manipulada.

CVE-2023-37927

La neutralización incorrecta de elementos especiales en el programa CGI de los dispositivos NAS de Zyxel podría permitir a un atacante autenticado ejecutar algunos comandos del sistema operativo enviando una URL manipulada a un dispositivo vulnerable.

CVE-2023-37928

Una vulnerabilidad de inyección de comandos posterior a la autenticación en el servidor WSGI de los dispositivos NAS de Zyxel podría permitir a un atacante autenticado ejecutar algunos comandos del sistema operativo enviando una URL manipulada a un dispositivo vulnerable.

CVE-2023-4473

Una vulnerabilidad de inyección de comandos en el servidor web de los dispositivos NAS de Zyxel podría permitir a un atacante no autenticado ejecutar algunos comandos del sistema operativo enviando una URL manipulada a un dispositivo vulnerable.

CVE-2023-4474

La neutralización incorrecta de elementos especiales en el servidor WSGI de los dispositivos NAS de Zyxel podría permitir a un atacante no autenticado ejecutar algunos comandos del sistema operativo enviando una URL manipulada a un dispositivo vulnerable.

¿Qué versiones son vulnerables y qué debe hacer?

Tras una investigación exhaustiva, hemos identificado los productos vulnerables que se encuentran dentro de su período de soporte de vulnerabilidades, con sus parches de firmware que se muestran en la tabla siguiente.

Modelo afectado Versión afectada Disponibilidad del parche
NAS326 V5.21(AAZF.14)C0 y anteriores V5.21(AAZF.15)C0
NAS542 V5.21(ABAG.11)C0 y anteriores V5.21(ABAG.12)C0

¿Tiene alguna pregunta?

Póngase en contacto con su representante de servicio local o visite la comunidad de Zyxel para obtener más información o asistencia.

Agradecimientos

Gracias a los siguientes investigadores de seguridad y consultorías:

  • Maxim Suslov por CVE-2023-35137 y CVE-2023-35138
  • Gábor Selján de BugProve por CVE-2023-37927, CVE-2023-37928, CVE-2023-4473 y CVE-2023-4474
  • Drew Balfour de X-Force Red para CVE-2023-4473

Historial de revisiones

2023-11-7:Versión inicial.

Artículos en esta sección

Más información
¿Fue útil este artículo?
Usuarios a los que les pareció útil: 1 de 3
Compartir