Η Zyxel έχει αντιμετωπίσει πολλαπλά ζητήματα ασφάλειας, συμπεριλαμβανομένων τριών κρίσιμων ζητημάτων που θα μπορούσαν να επιτρέψουν σε έναν εισβολέα χωρίς έλεγχο ταυτότητας να εκτελεί εντολές λειτουργικού συστήματος σε ευάλωτες συσκευές αποθήκευσης που συνδέονται με το δίκτυο (NAS).
Τα συστήματα Zyxel NAS χρησιμοποιούνται για την αποθήκευση δεδομένων σε μια κεντρική τοποθεσία στο δίκτυο. Είναι σχεδιασμένα για μεγάλους όγκους δεδομένων και προσφέρουν λειτουργίες όπως δημιουργία αντιγράφων ασφαλείας δεδομένων, ροή πολυμέσων ή προσαρμοσμένες επιλογές κοινής χρήσης.
Τυπικοί χρήστες Zyxel NAS περιλαμβάνουν μικρές και μεσαίες επιχειρήσεις που αναζητούν μια λύση που συνδυάζει τη διαχείριση δεδομένων, την απομακρυσμένη
εργασία
και τις δυνατότητες συνεργασίας, καθώς και
επα
γγελματίες πληροφορικής που δημιουργούν συστήματα πλεονασμού δεδομένων ή βιντεογράφους και ψηφιακούς καλλιτέχνες που εργάζονται με μεγάλα αρχεία.
Σε ένα
δελτίο ασφαλείας
σήμερα, ο προμηθευτής προειδοποιεί για τα ακόλουθα ελαττώματα που επηρεάζουν τις συσκευές NAS326 που εκτελούν την έκδοση 5.21(AAZF.14)C0 και παλαιότερη, και το NAS542 με την έκδοση 5.21(ABAG.11)C0 και παλαιότερη.
-
CVE-2023-35137
: Ακατάλληλη ευπάθεια ελέγχου ταυτότητας στη μονάδα ελέγχου ταυτότητας των συσκευών Zyxel NAS, η οποία επιτρέπει στους μη επιβεβαιωμένους εισβολείς να αποκτούν πληροφορίες συστήματος μέσω μιας επεξεργασμένης διεύθυνσης URL. (βαθμολογία υψηλής σοβαρότητας 7,5) -
CVE-2023-35138
: Ελάττωμα εισ
αγωγή
ς εντολών στη λειτουργία “show_zysync_server_contents” σε συσκευές Zyxel NAS, επιτρέποντας στους εισβολείς να εκτελούν εντολές λειτουργικού συστήματος μέσω ενός δημιουργημένου αιτήματος HTTP POST. (βαθμολογία κρίσιμης σοβαρότητας 9,8) -
CVE-2023-37927
: Ευπάθεια στο πρόγραμμα CGI των συσκευών Zyxel NAS, που επιτρέπει στους επιτιθέμενους να εκτελούν εντολές του λειτουργικού συστήματος με μια επεξεργασμένη διεύθυνση URL. (βαθμολογία υψηλής σοβαρότητας 8,8) -
CVE-2023-37928
:
Έγχυση εντολών
μετά τον έλεγχο ταυτότητας στον διακομιστή WSGI των συσκευών Zyxel NAS, που επιτρέπει στους επιτιθέμενους να εκτελούν εντολές του λειτουργικού συστήματος μέσω μιας επεξεργασμένης διεύθυνσης URL. (βαθμολογία υψηλής σοβαρότητας 8,8) -
CVE-2023-4473
: Ελάττωμα έγχυσης εντολών στον διακομιστή ιστού των συσκευών Zyxel NAS, που επιτρέπει σε μη επαληθευμένους εισβολείς να εκτελούν εντολές λειτουργικού συστήματος μέσω μιας επεξεργασμένης διεύθυνσης URL. (βαθμολογία κρίσιμης σοβαρότητας 9,8) -
CVE-2023-4474
: Ευπάθεια στον διακομιστή WSGI των συσκευών Zyxel NAS, που επιτρέπει σε μη επαληθευμένους εισβολείς να εκτελούν εντολές λειτουργικού συστήματος με μια επεξεργασμένη διεύθυνση URL. (βαθμολογία κρίσιμης σοβαρότητας 9,8)
Οι φορείς απειλών θα μπορούσαν να εκμεταλλευτούν τα παραπάνω τρωτά σημεία για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση, να εκτελέσουν ορισμένες εντολές λειτουργικού συστήματος, να αποκτήσουν ευαίσθητες πληροφορίες συστήματος ή να πάρουν τον πλήρη έλεγχο των επηρεαζόμενων συσκευών Zyxel NAS.
Για την αντιμετώπιση αυτών των κινδύνων, συνιστάται στους χρήστες του NAS326 να κάνουν αναβάθμιση στην έκδοση V5.21(AAZF.15)C0 ή νεότερη. Οι χρήστες του NAS542 θα πρέπει να αναβαθμίσουν το υλικολογισμικό τους σε V5.21(ABAG.12)C0 ή νεότερη έκδοση, η οποία διορθώνει τα παραπάνω ελαττώματα.
Ο προμηθευτής δεν έχει παράσχει συμβουλές μετριασμού ή λύσεις, καθώς η ενημερωμένη έκδοση υλικολογισμικού είναι η προτεινόμενη ενέργεια.
VIA:
bleepingcomputer.com