Zyxel, kimliği doğrulanmamış saldırganlar tarafından kolayca kullanılabilecek çeşitli (OS) komut ekleme kusurları da dahil olmak üzere, ağa bağlı depolama (NAS) cihazlarını etkileyen altı güvenlik açığını düzeltti.
Zyxel NAS cihazlarındaki güvenlik açıkları
Tıkanmış altı güvenlik açığından biri, cihazların kimlik doğrulama modülündeki uygunsuz bir kimlik doğrulama güvenlik açığıdır (CVE-2023-35137) ve kimliği doğrulanmamış saldırganların, güvenlik açığı bulunan bir cihaza özel hazırlanmış bir URL göndererek sistem bilgilerini ele geçirmesine olanak verebilir.
Geriye kalan beşi (CVE-2023-35138, CVE-2023-37927, CVE-2023-37928, CVE-2023-4473, CVE-2023-4474), Zyxel NAS cihazlarının çeşitli işlev ve sunucularındaki komut enjeksiyon güvenlik açıklarıdır. Kimliği doğrulanmış veya doğrulanmamış saldırganların, savunmasız bir aygıta yalnızca hazırlanmış bir URL veya HTTP POST isteği göndererek bazı işletim sistemi komutlarını yürütmesine izin verebilirler.
CVE-2023-4473, IBM X-Force araştırmacısı Drew Balfour tarafından daha önce düzeltilen kritik bir Zyxel NAS hatasını (CVE-2023-27992) araştırırken keşfedildi.
“Orijinal sorunun temel nedeninin araştırılması sırasında, yeni bir kusur olan CVE-2023-4473 ve CVE-2023-27992 yamasına yönelik bir bypass ortaya çıkarıldı. Balfour, Perşembe günü yayınlanan ve araştırmasını detaylandırdığı bir blog yazısında, bunların bir araya gelmesiyle Zyxel NAS cihazlarında önceden kimlik doğrulaması yapılmış uzaktan kod yürütülmesine olanak sağladığını belirtti.
CVE-2023-27992, 23 Haziran 2023’te CISA’nın Bilinen İstismar Edilen Güvenlik Açıkları Kataloğu’na eklendi. Ajansa göre, bunun fidye yazılımı kampanyalarında kullanılıp kullanılmadığı hala bilinmiyor.
Ne yapalım?
Zyxel NAS cihazları, bunları veri depolama, yedekleme ve işbirliğini sağlamak için kullanan küçük ve orta ölçekli işletmeler (KOBİ’ler) arasında popüler bir seçimdir.
Çeşitli üreticilerin NAS cihazları genellikle, üzerlerinde depolanan verileri sızdıran veya şifreleyen ve fidye için saklayan saldırganlar tarafından hedef alınır. Saldırganların ayrıca dikkat çekmedikleri ve savunmasız cihazlara erişimlerini istismar ederek onları botnet’lere yönlendirdikleri veya bunları hedefin ağını daha kapsamlı bir şekilde ele geçirmek için bir basamak olarak kullandıkları da biliniyor.
2020 yılında dünya çapında 62.000 QNAP NAS cihazına, hassas bilgileri çalan, sisteme bir arka kapı oluşturan ve güncellemelerin yüklenmesini engelleyerek cihazlarda varlığını sürdüren kötü amaçlı yazılım bulaştı.
Zyxel, tavsiye belgesinde vahşi istismardan bahsetmiyor ancak kullanıcıları “en iyi koruma için” yamaları yüklemeye çağırıyor.
NAS326 ve NAS542 cihazları için yamalar mevcuttur.