A Zyxel lançou atualizações de segurança para corrigir falhas críticas que afetam dois de seus dispositivos de armazenamento em rede (NAS) que alcançaram o status de fim de vida (EoL). A exploração bem-sucedida de três das cinco vulnerabilidades poderia permitir que um atacante não autenticado executasse comandos de sistema operacional (OS) e código arbitrário em instalações afetadas. Os modelos impactados incluem NAS326 rodando versões V5.21(AAZF.16)C0 e anteriores, e NAS542 rodando versões V5.21(ABAG.13)C0 e anteriores. As deficiências foram resolvidas nas versões V5.21(AAZF.17)C0 e V5.21(ABAG.14)C0, respectivamente. Um breve resumo das falhas é o seguinte…

O pesquisador de segurança da Outpost24, Timothy Hjort, foi creditado por descobrir e relatar as cinco falhas. Vale ressaltar que duas das falhas de escalonamento de privilégios que requerem autenticação permanecem não corrigidas. Embora não haja evidências de que os problemas tenham sido explorados, recomenda-se que os usuários atualizem para a versão mais recente para uma proteção ideal.