Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta a productos NAS de Zyxel, que permitiría a un atacante realizar ejecución remota de código (RCE).
La vulnerabilidad identificada como CVE-2022-34747, de severidad “crítica”, con una puntuación asignada de 9.8. Esta vulnerabilidad se debe a una falla en el componente UDP Packet Handler de productos NAS de Zyxel. Esto permitiría a un atacante realizar ejecución remota de código (RCE).
Las versiones afectadas son:
- NAS326, versiones 5.21 (AAZF.11)C0 y versiones anteriores.
- NAS540, versiones 5.21(AATB.8)C0 y versiones anteriores.
- NAS542, versiones 5.21(ABAG.8)C0 y versiones anteriores.
Recomendamos acceder a las actualizaciones correspondientes provistas por Zyxel en los siguientes enlaces:
Referencias:
- https://www.bleepingcomputer.com/news/security/zyxel-releases-new-nas-firmware-to-fix-critical-rce-vulnerability/
- https://www.zyxel.com/support/Zyxel-security-advisory-for-format-string-vulnerability-in-NAS.shtml
- https://nvd.nist.gov/vuln/detail/CVE-2022-34747
- https://www.zyxel.com/support/download_landing/product/nas326_14.shtml?c=gb&l=en&pid=20150327120001&tab=Firmware&pname=NAS326
- https://www.zyxel.com/support/download_landing/product/nas540_14.shtml?c=gb&l=en&pid=20131231165121&tab=Firmware&pname=NAS540
- https://download.zyxel.com/NAS542/firmware/521ABAG9C0.zip