CSIRT Toscana Aggiornamenti per prodotti Zyxel (AL01/240604/CSIRT-ITA) – Aggiornamento
Data:
4 Luglio 2024 09:38
Data di creazione: 04/06/2024 – 12:00
Sintesi
Zyxel rilascia aggiornamenti di sicurezza per sanare 5 vulnerabilità presenti in alcuni dispositivi NAS che hanno raggiunto il periodo di fine supporto (EOL).
Note (aggiornamento del 04/07/2024): un Proof of Concept (PoC) per lo sfruttamento di tutte le vulnerabilità elencate nell’apposita sezione risulta disponibile in rete.
Note (aggiornamento del 26/06/2024): la CVE-2024-29973 risulta essere sfruttata attivamente in rete.
Note (aggiornamento del 20/06/2024): un Proof of Concept (PoC) per lo sfruttamento delle vulnerabilità CVE-2024-29973 e CVE-2024-29972 risultano disponibili in rete.
Note: un Proof of Concept (PoC) per la vulnerabilità CVE-2024-29974 risulta disponibile in rete.
Stima d’impatto della vulnerabilità sulla comunità di riferimento: GRAVE/ROSSO (79,23/100)1.
Tipologia
- Arbitrary Code Execution
- Privilege Escalation
- Information Disclosure
Prodotti e/o versioni affette
NAS326, versione firmware 5.21(AAZF.16)C0 e precedenti
NAS542, versione firmware V5.21(ABAG.13)C0 e precedenti
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di applicare le mitigazioni disponibili seguendo le indicazioni riportate nel bollettino di sicurezza nella sezione Riferimenti.
Identificatori univoci vulnerabilità
Riferimenti
1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.