Síntesis
Zyxel lanza actualizaciones de seguridad para abordar 5 vulnerabilidades en algunos dispositivos NAS que han alcanzado su período de fin de soporte (EOL).
Notas (actualizado el 07/04/2024): un Proof of Concept (PoC) para la explotación de todas las vulnerabilidades enumeradas en la sección específica está disponible en línea.
Notas (actualizado el 26/06/2024): CVE-2024-29973 parece estar siendo explotado activamente en línea.
Notas (actualizado el 20/06/2024): Una prueba de concepto (PoC) para la explotación de las vulnerabilidades CVE-2024-29973 y CVE-2024-29972 está disponible en línea.
Nota: Un Proof of Concept (PoC) para la vulnerabilidad CVE-2024-29974 está disponible en línea.
Riesgo
Impacto estimado de la vulnerabilidad en la comunidad de referencia: GRAVE/ROJA (79,23/100)1.
Tipología
- Arbitrary Code Execution
- Privilege Escalation
- Information Disclosure
Productos y/o versiones afectados
NAS326, versión de firmware 5.21(AAZF.16)C0 y anteriores
NAS542, versión de firmware V5.21(ABAG.13)C0 y anteriores
Acciones de mitigacion
En línea con lo manifestado por el proveedor, se recomienda aplicar las mitigaciones disponibles siguiendo las indicaciones reportadas en el boletín de seguridad en la sección Referencias.
Identificadores únicos de vulnerabilidad
Referencias
1Esta estimación se realiza teniendo en cuenta varios parámetros, entre ellos: CVSS, disponibilidad de parches/soluciones alternativas y PoC, difusión del software/dispositivos afectados en la comunidad de referencia.
