La vulnerabilidad Zyxel Command Injection permite a los atacantes ejecutar comandos del sistema operativo

Zyxel ha sido una de las principales empresas de fabricación de productos de red del mundo y una de las principales empresas de la industria de las telecomunicaciones. 

La empresa tiene clientes en todo el mundo, incluidos Estados Unidos, Reino Unido, Francia e India.

Los dispositivos Zyxel NAS (Network-Attached Storage) se descubrieron recientemente con una vulnerabilidad de inyección de comando de autenticación previa que puede permitir que un atacante remoto ejecute comandos del sistema operativo mediante el envío de solicitudes HTTP maliciosas.

CVE-2023-27992: Vulnerabilidad de inyección de comando de autenticación previa en productos Zyxel NAS

Esta vulnerabilidad existe en algunos de los productos dentro del firmware Zyxel NAS que puede permitir que un atacante no autenticado ejecute comandos del sistema operativo a través de solicitudes HTTP manipuladas.

Dos investigadores de seguridad llamados Andrej Zaujec de NCSC-FI y Maxim Suslov descubrieron esta vulnerabilidad de inyección de comandos. La vulnerabilidad recibe una puntuación CVSS de 9,8 (crítica).

Productos afectados

Se recomienda a los usuarios de los productos Zyxel NAS que actualicen a la última versión del software para evitar que los atacantes aprovechen esta vulnerabilidad. 

Zyxel, una subsidiaria de la corporación Unizyx Holding, tiene un ingreso total de 32 mil millones de dólares taiwaneses a partir de 2021 y tiene más de 650 empleados en todo el mundo. La empresa se especializa en 5G/4G NR, DSL, módems, teléfonos VoIP y otros productos de telecomunicaciones.

La empresa se estableció en 1989 y ha logrado varios avances al presentar la primera puerta de enlace ADSL2+ del mundo (2004), un cortafuegos portátil del tamaño de la palma de la mano (2005), analógico/digital.