Ağ ekipmanı üreticisi Zyxel, ağa bağlı depolama (NAS) cihazlarını etkileyen kritik bir güvenlik açığı için yamalar yayınladı.
CVE-2022-34747 (CVSS puanı: 9.8) olarak izlenen sorun, NAS326, NAS540 ve NAS542 modellerini etkileyen bir “biçim dizisi güvenlik açığı” ile ilgilidir. Zyxel, kusuru bildirdiği için araştırmacı Shaposhnikov Ilya’ya teşekkür etti.
Şirket, 6 Eylül’de yayınlanan bir danışma belgesinde, “Zyxel NAS ürünlerinin belirli bir ikili programında, bir saldırganın hazırlanmış bir UDP paketi aracılığıyla yetkisiz uzaktan kod yürütmesine izin verebilecek bir biçim dizesi güvenlik açığı bulundu.” Dedi.
Kusur aşağıdaki sürümleri etkiler –
- NAS326 (V5.21(AAZF.11)C0 ve öncesi)
- NAS540 (V5.21(AATB.8)C0 ve öncesi) ve
- NAS542 (V5.21(ABAG.8)C0 ve öncesi)
Açıklama, Zyxel’in Temmuz ayında güvenlik duvarı ürünlerini etkileyen yerel ayrıcalık yükseltme ve kimliği doğrulanmış dizin geçiş güvenlik açıklarını (CVE-2022-30526 ve CVE-2022-2030) daha önce ele almasıyla geldi.
NAS cihazlarını hacklemek yaygın bir uygulama haline geliyor. Önlem almazsanız veya yazılımı güncel tutmazsanız, saldırganlar hassas ve kişisel verilerinizi çalabilir. Bazı durumlarda, verileri kalıcı olarak silmeyi bile başarırlar.
Haziran 2022’de, GS1200 serisi anahtarları bir zamanlama yan kanalı saldırısı yoluyla parola tahmini saldırılarına açık hale getiren bir güvenlik açığını da (CVE-2022-0823) düzeltti.