Actualizaciones de productos Zyxel (AL01/240604/CSIRT-ITA) – Actualización

Síntesis

Zyxel lanza actualizaciones de seguridad para abordar 5 vulnerabilidades en algunos dispositivos NAS que han alcanzado su período de fin de soporte (EOL).

Notas (actualizado el 20/06/2024): Un Proof of Concept (PoC) para la explotación de la vulnerabilidad CVE-2024-29973 está disponible en línea.

Nota: Un Proof of Concept (PoC) para la vulnerabilidad CVE-2024-29974 está disponible en línea.

Riesgo

Impacto estimado de la vulnerabilidad en la comunidad de referencia: GRAVE/ROJA (79,23/100)¹.

Tipología

• Arbitrary Code Execution
• Privilege Escalation
• Information Disclosure

Productos y/o versiones afectados

NAS326, versión de firmware 5.21(AAZF.16)C0 y anteriores

NAS542, versión de firmware V5.21(ABAG.13)C0 y anteriores

Acciones de mitigación

De acuerdo con lo manifestado por el proveedor, se recomienda aplicar las mitigaciones disponibles siguiendo las indicaciones reportadas en el boletín de seguridad en la sección Referencias.

Identificadores únicos de vulnerabilidad

CVE-2024-29972

CVE-2024-29973

CVE-2024-29974

CVE-2024-29975

CVE-2024-29976

Referencias

https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-multiple-vulnerabilities-in-nas-products-06-04-2024

¹Esta estimación se realiza teniendo en cuenta varios parámetros, entre ellos: CVSS, disponibilidad de patch/workaround y PoC, difusión del software/dispositivos afectados en la comunidad de referencia.