Zyxel alerta para várias falhas críticas em dispositivos NAS

Vulnerabilidades podem permitir que um invasor execute comandos do sistema operacional em dispositivos vulneráveis de armazenamento conectado à rede
Da Redação
05/12/2023

A Zyxel resolveu vários problemas de segurança, incluindo três falhas críticas que podem permitir que um invasor execute comandos do sistema operacional em dispositivos vulneráveis de armazenamento conectado à rede (NAS).

Os sistemas NAS da Zyxel são usados para armazenar dados em um local centralizado na rede. Eles são projetados para grandes volumes de dados e oferecem recursos como backup de dados, streaming de mídia ou opções de compartilhamento personalizadas.

Os usuários típicos do Zyxel NAS incluem pequenas e médias empresas que buscam uma solução que combine gerenciamento de dados, trabalho remoto e recursos de colaboração, bem como profissionais de TI que configuram sistemas de redundância de dados ou cinegrafistas e artistas digitais trabalhando com arquivos grandes.

Em um boletim de segurança, a fornecedora alerta sobre as seguintes falhas que afetam os dispositivos NAS326 que executam a versão 5.21(AAZF.14)C0 e anteriores e o NAS542 com a versão 5.21(ABAG.11)C0 e anteriores.

  • CVE-2023-35137: vulnerabilidade de autenticação incorreta no módulo de autenticação de dispositivos Zyxel NAS, permitindo que invasores obtenham informações do sistema por meio de uma URL criada — escore de 7.5, de alta gravidade, no sistema de pontuação comum de vulnerabilidades (CVSS)
  • CVE-2023-35138: falha de injeção de comando na função “show_zysync_server_contents” em dispositivos Zyxel NAS, permitindo que invasores executem comandos do sistema operacional por meio de uma solicitação HTTP POST criada. (escore de 9.8, de gravidade crítica)
  • CVE-2023-37927: vulnerabilidade no programa CGI de dispositivos Zyxel NAS, permitindo que invasores executem comandos do sistema operacional com uma URL criada. (escore de 8.8, de alta gravidade)
  • CVE-2023-37928: falha de injeção de comando pós-autenticação no servidor WSGI de dispositivos Zyxel NAS, permitindo que invasores executem comandos do sistema operacional por meio de uma URL criada. (escore de 8.8, alta gravidade)
  • CVE-2023-4473: falha de injeção de comando no servidor web de dispositivos Zyxel NAS, permitindo que invasores executem comandos do sistema operacional por meio de uma URL criada. (escore de 9.8, de gravidade crítica)
  • CVE-2023-4474: Vulnerabilidade no servidor WSGI de dispositivos Zyxel NAS, permitindo que invasores não autenticados executem comandos do sistema operacional com uma URL criada. (escore de 9.8, de gravidade crítica)

Veja isso
Zyxel alerta para ataques sofisticados a seus firewalls
Dispositivos Zyxel têm conta privilegiada e não documentada

Os operadores de ameaças podem explorar as vulnerabilidades acima para obter acesso não autorizado, executar alguns comandos do sistema operacional, obter informações confidenciais do sistema ou assumir o controle total dos dispositivos NAS Zyxel afetados.

Para resolver esses riscos, recomenda-se que os usuários do NAS326 atualizem para a versão V5.21(AAZF.15)C0 ou posterior. Os usuários do NAS542 devem atualizar seu firmware para V5.21(ABAG.12)C0 ou posterior, que corrigem as falhas acima.

O fornecedor não forneceu nenhum conselho de mitigação ou soluções alternativas, sendo uma atualização de firmware a ação recomendada.

Para ter acesso a abordagem da Zyxel sobre as vulnerabilidades, em inglês, clique aqui.

Compartilhar:

Últimas Notícias