30 ноября 2023 года компания Zyxel предупредила о шести уязвимостях, включая три критические (высокого уровня опасности), которые обнаружили специалисты по ИБ во встроенном ПО для популярных сетевых хранилищ NAS326 (версия прошивки 5.21(AAZF.14)C0 и более ранняя) и NAS542 (версия прошивки 5.21(ABAG.11)C0 и более ранняя).
Используя уязвимости, злоумышленники могут получить удалённый доступ к NAS без необходимости проходить процесс аутентификации и выполнять произвольные команды на сетевых устройствах хранения данных, включая изменение настроек резервного копирования, управление потоковой передачей медиа и параметров обмена данными. Также уязвимости помогают злоумышленникам получить конфиденциальную системную информацию и полный контроль над NAS326 или NAS542.
Zyxel выпустил обновление прошивки для уязвимых NAS. Для устранения шести уязвимостей пользователям NAS326 рекомендуется обновиться до версии V5.21(AAZF.15)C0 или более поздней, пользователям NAS542 следует обновить свою прошивку до V5.21(ABAG.12)C0 или более поздней.
В Zyxel пояснили опасность уязвимостей:
CVE-2023-35137: уязвимость в модуле аутентификации устройств Zyxel NAS, позволяющая неаутентифицированным атакующим получать системную информацию через специально созданный URL (оценка по CVSS 7.5);
CVE-2023-35138: уязвимость инъекции команд в функции show_zysync_server_contents устройств Zyxel NAS, позволяющая неаутентифицированным атакующим выполнять команды ОС через специально созданный HTTP POST-запрос (оценка по CVSS 9.8);
CVE-2023-37927: уязвимость в программе CGI устройств Zyxel NAS, позволяющая аутентифицированным атакующим выполнять команды ОС с помощью специально созданного URL (оценка по CVSS 8.8);
CVE-2023-37928: уязвимость после аутентификации с инъекцией команд в сервере WSGI устройств Zyxel NAS, позволяющая аутентифицированным атакующим выполнять команды ОС через специально созданный URL (оценка по CVSS 8.8);
CVE-2023-4473: уязвимость инъекции команд в веб-сервере устройств Zyxel NAS, позволяющая неаутентифицированным атакующим выполнять команды ОС через специально созданный URL (оценка по CVSS 9.8);
CVE-2023-4474: уязвимость в сервере WSGI устройств Zyxel NAS, позволяющая неаутентифицированным атакующим выполнять команды ОС с помощью специально созданного URL (оценка по CVSS — 9.8).
Источник новости: habr.com
