Un equipo de investigadores ha revelado el hallazgo de un par de vulnerabilidades en algunos productos de almacenamiento conectado a la red (NAS) de ZyXEL, compañía con sede en China fabricante de múltiples soluciones de red. Acorde al reporte, la explotación exitosa de las fallas permitiría a los actores de amenazas esquivar los controles de acceso a los sistemas vulnerables de forma relativamente fácil.
A continuación se presentan breves descripciones de las vulnerabilidades reportadas, además de sus respectivos puntajes y claves de identificación según el Common Vulnerability Scoring System (CVSS).
CVE-2020-13364: Las inadecuadas restricciones de acceso en un script CGI para aplicaciones web permitirían a los actores de amenazas obtener acceso no autorizado a funciones restringidas. Los hackers maliciosos podrían iniciar servicios Telnet o SSH para generar una contraseña para la cuenta de usuario “NsaRescueAngel” con privilegios root.
Esta es una vulnerabilidad de severidad media que recibió un puntaje de 7.1/10.
CVE-2020-13365: Una serie de restricciones de acceso inadecuadas en un script CGI para las aplicaciones web afectadas permitirían a los actores de amenazas iniciar servicios Telnet o SSH para generar una contraseña de acceso a la cuenta “NsaRescueAngel” con privilegios de root, permitiendo a los actores de amenazas obtener acceso no autorizado a funcionalidades restringidas.
Al igual que el caso anterior, los expertos consideran que esta es una falla de severidad media, por lo que recibió un puntaje de 7.1/10.
Ambas vulnerabilidades residen en los siguientes productos:
- Zyxel NAS 326
- NAS520
- NAS540
- NAS542
Si bien las vulnerabilidades pueden ser explotadas por actores de amenazas remotos no autenticados, los especialistas no han detectado intentos de explotación activa. ZyXEL ya ha lanzado las actualizaciones requeridas, por lo que los usuarios de implementaciones afectadas deberán actualizar a la brevedad. Más detalles sobre las vulnerabilidades y sus potenciales métodos de mitigación están disponibles en las plataformas oficiales de la compañía.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.