ADVERTENCIA: MÚLTIPLES VULNERABILIDADES CRÍTICAS, ALTAS Y MEDIAS EN LOS DISPOSITIVOS NAS ZYXEL PUEDEN APROVECHARSE PARA EJECUTAR CÓDIGO Y ROBAR INFORMACIÓN. ¡DESCOMISIÓN O PARCHE INMEDIATAMENTE!
Software afectado:
Dispositivos NAS Zyxel modelos NAS326 y NAS542
Tipo:
Ejecución remota de código, ejecución de código local, fuga de información.
CVE/CVSS:
CVE-2024-29972: 9.8 (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
CVE-2024-29973: 9.8 (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
CVE-2024-29974: 9.8 (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
CVE-2024-29975: 6.7 (CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)
CVE-2024-29976: 7.4 (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N)
Fuentes
Riesgos
El 4 de junio de 2024, Zyxel publicó un aviso de seguridad sobre 5 vulnerabilidades en dispositivos NAS al final de su vida útil, modelos NAS326 y NAS542. Las vulnerabilidades reportadas son CVE-2024-29972, CVE-2024-29973, CVE-2024-29974, CVE-2024-29975 y CVE-2024-29976.
La explotación de estas vulnerabilidades tiene un alto impacto en la confidencialidad, la integridad y la disponibilidad.
Los dispositivos NAS son dispositivos de almacenamiento de datos a los que se puede acceder de forma remota. Los dispositivos NAS son atacados regularmente por actores de amenazas con diversos fines, como propagar malware, robar datos, alterar configuraciones del sistema y desencadenar una condición de denegación de servicio.[1].
Actualmente no hay indicios de que estas vulnerabilidades hayan sido objeto de explotación activa (fecha límite: 4 de junio de 2024). Sin embargo, el hecho de que Zyxel haya decidido lanzar parches de seguridad para dispositivos al final de su vida útil podría indicar que se puede esperar explotación.
Descripción
CVE-2024-29972 es una vulnerabilidad de inyección de comandos en el programa CGI “remote_help-cgi” en los dispositivos Zyxel NAS326 y NAS542 que podría permitir que un atacante no autenticado ejecute algunos comandos del sistema operativo (SO) enviando una solicitud HTTP POST diseñada.
CVE-2024-27793 es una vulnerabilidad de inyección de comandos en el parámetro «setCookie» en los dispositivos Zyxel NAS326 y NAS542 que podría permitir que un atacante no autenticado ejecute algunos comandos del sistema operativo enviando una solicitud HTTP POST diseñada.
CVE-2024-27794 es una vulnerabilidad de ejecución remota de código en el programa CGI “file_upload-cgi” en los dispositivos Zyxel NAS326 y NAS542 que podría permitir que un atacante no autenticado ejecute código arbitrario cargando un archivo de configuración diseñado en un dispositivo vulnerable.
CVE-2024-29975 es una vulnerabilidad de administración de privilegios inadecuada en el binario ejecutable SUID en los dispositivos Zyxel NAS326 y NAS542 que podría permitir que un atacante local autenticado con privilegios de administrador ejecute algunos comandos del sistema como usuario «root» en un dispositivo vulnerable.
CVE-2024-19976 Hay una vulnerabilidad de administración de privilegios inadecuada en el comando “show_allsessions” en los dispositivos Zyxel NAS326 y NAS542 que podría permitir a un atacante autenticado obtener información de la sesión de un administrador que ha iniciado sesión y que contiene cookies en un dispositivo afectado.
Acciones recomendadas
Sistemas al final de su vida útil
El Centro de Ciberseguridad de Bélgica (CCB) recomienda encarecidamente a todas las organizaciones que manejen los dispositivos al final de su vida útil (EOL) con sumo cuidado para mitigar las vulnerabilidades en su superficie de ataque pública.
Mantenga actualizado el inventario de activos de su organización para reflejar el desmantelamiento de los dispositivos al final de su vida útil, manteniendo una postura de seguridad sólida y actual.
Asegúrese de que los dispositivos al final de su vida útil estén desconectados de todas las redes para evitar posibles puntos de acceso para los ciberatacantes.
Es esencial borrar de forma segura todos los datos de estos dispositivos utilizando métodos de destrucción de datos estándar de la industria. Se recomienda destruir y reciclar físicamente el hardware a través de servicios certificados de eliminación de desechos electrónicos para evitar la recuperación de datos no autorizada.
Parche
El Centro de Ciberseguridad de Bélgica recomienda encarecidamente instalar actualizaciones para dispositivos vulnerables con la máxima prioridad, después de realizar pruebas exhaustivas.
Zyxel informó que estas vulnerabilidades se solucionan con actualizaciones de software:
- Para dispositivos NAS326: actualice al parche V5.21(AAZF.17)C0
- Para dispositivos NAS542, actualice al parche V5.21(ABAG.14)C0
Monitorear/Detectar
La CCB recomienda que las organizaciones mejoren sus capacidades de monitoreo y detección para identificar cualquier actividad sospechosa relacionada, asegurando una respuesta rápida en caso de una intrusión.
En caso de intrusión, puedes reportar una incidencia a través de: https://cert.be/es/reportar-incidente
Si bien aplicar parches a los dispositivos o al software a la versión más reciente puede brindar seguridad contra futuras explotaciones, no soluciona el compromiso histórico.
Referencias