☰

Kritiskas ievainojamības Zyxel NAS ierīcēs

CERT.LV brīdina par vairākām ievainojamībām Zyxel NAS (network-attached storage) ierīcēs, tostarp trīs kritiskām ievainojamībām, kuras ļauj neautentificētam uzbrucējam izpildīt sistēmas komandas operētājsistēmas līmenī.

Šīs ievainojamības skar NAS326 un NAS542 ierīces. CERT.LV aicina nekavēties ar atjauninājumu uzstādīšanu, ja tas vēl nav izdarīts.

Papildinformācija par ievainojamībām

  • CVE-2023-35137 nekorekta autentifikācija Zyxel NAS iekārtu autentifikācijas modulī, kas noved pie neautorizētas piekļuves sistēmas informācijai, izmantojot speciāli izveidotu saiti (URL). Augsta ietekme ar vērtējumu 7.5.
  • CVE-2023-35138 komandu izpildes nepilnība “show_zysync_server_contents” funkcijā, kas ļauj OS līmeņa komandas izpildīt, izmantojot HTTP POST pieprasījumus. Kritiska ietekme ar vērtējumu 9.8.
  • CVE-2023-37927 ievainojamība CGI programmā, kas sniedz autentificētam uzbrucējam iespēju izpildīt OS līmeņa komandas, izmantojot speciāli izveidotu saiti (URL). Augsta ietekme ar vērtējumu 8.8.
  • CVE-2023-37928 autentificēta lietotāja komandu izpildes ievainojamība WSGI serverī, kas sniedz uzbrucējam iespēju izpildīt OS līmeņa komandas, izmantojot speciāli izveidotu saiti (URL). Augsta ietekme ar vērtējumu 8.8.
  • CVE-2023-4473 komandu izpildes nepilnība web serverī, sniedzot iespēju neautentificētam uzbrucējam izpildīt OS līmeņa komandas, izmantojot speciāli izveidotu saiti (URL). Kritiska ietekme ar vērtējumu 9.8.
  • CVE-2023-4474 ievainojamība WSGI serverī, kas sniedz iespēju neautentificētam uzbrucējam izpildīt OS līmeņa komandas, izmantojot speciāli izveidotu saiti (URL). Kritiska ietekme ar vērtējumu 9.8.

Riski

Šo ievainojamību izmantošana var radīt neautorizētu piekļuvi, sensitīvu sistēmas informācijas noplūdi vai ļaut uzbrucējam pilnībā pārņemt ietekmētās Zyxel NAS ierīces.

Nepieciešamās darbības:

  • NAS326 vajag atjaunināt firmware versiiju uz V5.21(AAZF.15)C0 vai jaunāku.
  • NAS542 vajag atjaunināt firmware versiiju uzV5.21(ABAG.12)C0 vai jaunāku.

Vairāk: https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-authentication-bypass-and-command-injection-vulnerabilities-in-nas-products