Zyxel предупреждает о критических уязвимостях в фирменных NAS-устройствах

Компания Zyxel обнаружила несколько серьёзных уязвимостей в своих устройствах сетевых накопителей (NAS), включая три критические, которые могут позволить неаутентифицированным атакующим выполнять произвольные команды на уязвимых устройствах.

Системы NAS от Zyxel используются для централизованного хранения данных в сети и предназначены для работы с большими объёмами информации. Они предлагают функции, такие как резервное копирование, потоковая передача медиа и настройка параметров обмена.

К типичным пользователям NAS от Zyxel относятся малые и средние предприятия, которые ищут решения для управления данными, удалённой и совместной работы с ними. Помимо корпоративной сферы, NAS пользуется спросом у некоторых IT-специалистов, видеографов и цифровых художников, работающие с большими файлами.

В бюллетене безопасности , опубликованном 30 ноября, производитель предупреждает о следующих уязвимостях, затрагивающих устройства NAS326 с версией встроенного ПО 5.21(AAZF.14)C0 и более раннего, а также NAS542 с версией 5.21(ABAG.11)C0 и более раннего:

• CVE-2023-35137 : уязвимость в модуле аутентификации устройств Zyxel NAS, позволяющая неаутентифицированным атакующим получать системную информацию через специально созданный URL (оценка по CVSS 7.5);
• CVE-2023-35138 : уязвимость инъекции команд в функции «show_zysync_server_contents» устройств Zyxel NAS, позволяющая неаутентифицированным атакующим выполнять команды ОС через специально созданный HTTP POST-запрос (оценка по CVSS 9.8);
• CVE-2023-37927 : уязвимость в программе CGI устройств Zyxel NAS, позволяющая аутентифицированным атакующим выполнять команды ОС с помощью специально созданного URL (оценка по CVSS 8.8);
• CVE-2023-37928 : уязвимость после аутентификации с инъекцией команд в сервере WSGI устройств Zyxel NAS, позволяющая аутентифицированным атакующим выполнять команды ОС через специально созданный URL (оценка по CVSS 8.8);
• CVE-2023-4473 : уязвимость инъекции команд в веб-сервере устройств Zyxel NAS, позволяющая неаутентифицированным атакующим выполнять команды ОС через специально созданный URL (оценка по CVSS 9.8);
• CVE-2023-4474 : уязвимость в сервере WSGI устройств Zyxel NAS, позволяющая неаутентифицированным атакующим выполнять команды ОС с помощью специально созданного URL (оценка по CVSS — 9.8).

Злоумышленники могут использовать вышеуказанные уязвимости для получения несанкционированного доступа, выполнения команд операционной системы, получения конфиденциальной системной информации или полного контроля над затронутыми устройствами Zyxel NAS.

Для устранения этих рисков пользователям NAS326 рекомендуется обновиться до версии V5.21(AAZF.15)C0 или более поздней. Пользователям NAS542 следует обновить свою прошивку до V5.21(ABAG.12)C0 или более поздней, чтобы устранить вышеуказанные недостатки безопасности.

Производитель не предоставил советов по смягчению последствий или обходным путям, рекомендуя обновление прошивки в качестве основного защитного действия.