Ir al contenido
Perspectiva de los analistas: Descargue hoy mismo su copia del informe Gartner® Hype Cycle™ for Security Operations, 2024. | Obtener informe
Asesoría

27 de junio de 2024 Advisory: Vulnerabilidad crítica de inyección de comandos en modelos NAS EOL de Zyxel explotada por botnet [CVE-2024-29973].

Compartir

27 de junio de 2024
Etiquetas:
  • Fecha de publicación: 4 de junio de 2024
  • CVE-ID y puntuación CVSS: CVE-2024-29973 (CVSS 9.8 - Crítico)
  • Nombre y descripción del problema: A vulnerabilidad crítica de inyección de comandos crítica en el parámetro 'setCookie' de algunos dispositivos NAS de Zyxel que permite a atacantes remotos no autenticados ejecutar comandos arbitrarios del sistema operativo a través de una solicitud HTTP POST solicitud HTTP POST especialmente diseñada.
  • Descripción del activo: Zyxel NAS (Network Attached Storage) es un dispositivo de almacenamiento de archivos centralizado que permite a múltiples usuarios acceder a los datos a través de una red. Esta vulnerabilidad afecta específicamente a los modelos Zyxel NAS326 y NAS542 con versiones de firmware anteriores a V5.21(AAZF.17)C0. Tenga en cuenta que ambos son productos que han llegado al final de su vida útil (EOL), pero el proveedor aún dispone de un parche.
  • Impacto de la vulnerabilidad: Si se explota con éxito, los atacantes podrían obtener el control total de los dispositivos NAS afectados con privilegios de root, lo que les permitiría ejecutar código malicioso, robar datos confidenciales, instalar malware y utilizar el dispositivo comprometido como punto de pivote para otros ataques de red.
  • Estado de explotación: 
    • A prueba de concepto (PoC) está disponible públicamente.
    • Aunque actualmente no está en CISA KEV, esta vulnerabilidad tiene una alta puntuación EPSS de 0,93664, lo que indica una mayor probabilidad de explotación. 
    • Desde el 24 de junio de 2024, hay informes de que esta vulnerabilidad está siendo explotada activamente por una "botnet similar a Mirai según Shadowserver.
    • En el momento de escribir esto, GreyNoise ha detectado 3 IPs intentando este exploit contra sus sensores - 1 de ellas etiquetada como asociado con la actividad bot conocido
  • Disponibilidad de parches: Zyxel ha publicado parches para los modelos NAS326 y NAS542 afectados, a pesar de que estos dispositivos han alcanzado el fin de su vida útil (EoL) en diciembre de 2023. Se recomienda a los usuarios que actualicen a la versión de firmware V5.21(AAZF.17)C0 o posterior.
  • Censys Perspectiva: A partir de 27 de junio de 2024, Censys observó 1,194 dispositivos Zyxel expuestos con NAS326 o NAS542. No está claro cuántos de ellos están parcheados y cuántos son vulnerables. Se concentran principalmente en Europa, sobre todo en Italia (197 hosts), Rusia (166), Hungría (149) y Alemania (144).

 

Mapa de Censys-dispositivos visibles Zyxel NAS326 y NAS542 a 27 de junio de 2024

  • Detección con Censys: Las siguientes consultas pueden utilizarse para identificar todas las instancias Zyxel NAS326 y NAS542 visibles para el público en Censys. Tenga en cuenta que no tenemos visibilidad de las versiones de firmware.
    • Censys Search query: services.software: (vendor: “Zyxel” and product: {“NAS326”, “NAS542”})
    • Censys ASM query: host.services.software: (vendor: “Zyxel” and product: {“NAS326”, “NAS542″}) or web_entity.instances.software: (vendor:”Zyxel” and product:{“NAS326”, “NAS542”})

 

Contenido similar

Ver todos los contenidos similares
Volver al Centro de Recursos
Soluciones de gestión de la superficie de ataque
Más información