Recientemente Zyxel ha comunicado a los usuarios, donde incentiva a estos a actualizar su firmware, con la finalidad de arreglar vulnerabilidades criticas que pueden conducir a inyección de comandos.
La vulnerabilidad ha sido rastreada como CVE-2023-27992, la cual puede afectar los dispositivos de almacenamiento en red. Esta vulnerabilidad se le ha sido asignada una puntuación de CVSSv3 9.8, lo que refleja su alto nivel de criticidad.
La vulnerabilidad, fue reportada por Andrej Zaujec, NCSF-FI y Maxim Suslov. y permite a un atacante remoto no autenticado ejecutar comandos de sistema operativo mediante una solicitud HTTP especialmente diseñada.
CVE-2023-27992, es una vulnerabilidad de inyección de comandos de pre-autenticación, los dispositivos afectados se describen a continuación, junto a la versión del firmware afectados y los parches liberados, respectivamente:
- NAS326: afecta V5.21(AAZF.13)C0 y anteriores, arreglado en V5.21(AAZF.14)C0.
- NAS540: afecta V5.21(AATB.10)C0 y anteriores, arreglado en V5.21(AATB.11)C0.
- NAS542: afecta V5.21(ABAG.10)C0 y anteriores, arreglado en V5.21(ABAG.11)C0.
Además, a inicios del mes de junio Zyxel también advertía la sobre vulnerabilidades siendo explotadas, las cuales fueron rastreadas como CVE-2023-28771, CVE-2023-33009 y CVE-2023-33010, las cuales afectarían dispositivos Firewall y VPN.
Es estas ultimas vulnerabilidades, se ha podido observar una particular afición por la explotación de CVE-2023-28771, el cual impacta a los firewals de Zyxel, mediante la violación de dicha vulnerabilidad, un atacante puede liberar e instalar malware en los sistemas afectados. Como consecuencia de la criticidad de esta vulnerabilidad CISA lo agrego a su catalogo de vulnerabilidades explotadas conocidas KEV.
Por su parte, las otras dos vulnerabilidades (CVE-2023-33009 Y CVE-2023-33010) hacen referencia a una vulnerabilidad de desbordamiento de búfer, lo que permite a un atacante remoto no autenticado aprovechar el fallo que conduciría a un ataque de denegación de servicios o Dos, y la ejecución remota en los dispositivos afectados.
Es un hecho que los actores maliciosos constantemente se encuentran en búsqueda de fallas criticas en los dispositivos de Zyxel que puedan ser explotadas de manera remota. Los atacantes también hacen uso de PoC públicos de exploits, para atacar los dispositivos que no han sido parcheados de manera correcta.
Los hechos demuestran que los dispositivos NAS han sido particularmente tentadores para las operaciones de ransomware que buscan vulnerabilidades de explotación remota con la finalidad de cifrar todos los archivos para una posterior petición de rescate. Ejemplo de esto serian los ataques contra los dispositivos NAS QNAP y Synology.
Actualmente no se tiene certeza sobre la solicitud HTTP especialmente diseñada, que se utiliza en la explotación de la vulnerabilidad CVE-2023-2992, así como las condiciones para su explotación. Sin embargo, el hecho de que la explotación no requiera autenticación para ser llevada a cabo convierte este fallo en uno relativamente fácil de explotar.
Ningún tipo de mitigación o solución alternativa han sido provistos por Zyxel, de manera que los usuarios de dispositivos NAS afectados deberán aplicar los parches de seguridad liberados, de manera inmediata.
Se recomienda a todos los usuarios de NAS, el no exponer los dispositivos al internet y hacerlos accesibles solamente mediante desde la red local o bien a través de una red privada virtual o VPN, por sus siglas en inglés.
