Zyxel, NAS (Ağa Bağlı Depolama) cihazları kullanıcılarını, kritik düzeyde bir komut enjeksiyonu güvenlik açığını düzeltmek için ürün yazılımlarını güncellemeleri konusunda uyarıyor.
Yeni keşfedilen CVE-2023-27992 güvenlik açığı, kimliği doğrulanmamış bir saldırganın özel hazırlanmış HTTP istekleri göndererek işletim sistemi komutlarını yürütmesine izin verebilecek bir kimlik doğrulama öncesi komut ekleme sorunudur.
Kusur, Andrej Zaujec, NCSC-FI ve Maxim Suslov tarafından keşfedildi ve CVSS v3 skoru 9.8 olarak “kritik” olarak derecelendirildi.
Etkilenen cihazlar, üretici yazılımı sürümleri ve yamalı sürümler şunlardır:
- NAS326 – V5.21(AAZF.14)C0’da düzeltilen V5.21(AAZF.13)C0 ve önceki sürümleri etkiler
- NAS540 – V5.21(AATB.11)C0’da düzeltilen V5.21(AATB.10)C0 ve önceki sürümlerini etkiler
- NAS542 – V5.21(ABAG.10)C0 ve önceki sürümlerini etkiler, V5.21(ABAG.11)C0 ile düzeltilmiştir
Zyxel, en son danışma belgesinde CVE-2023-27992 için herhangi bir geçici çözüm veya hafifletme sağlamadığından, etkilenen NAS cihazlarının kullanıcılarının mevcut güvenlik güncellemelerini mümkün olan en kısa sürede uygulamaları önerilir.
BleepingComputer ayrıca tüm NAS sahiplerinin cihazlarını İnternet’e maruz bırakmamalarını ve yalnızca yerel ağdan veya bir VPN aracılığıyla erişilebilir olmalarını şiddetle tavsiye eder. NAS cihazını bir güvenlik duvarının arkasına yerleştirmek, tehdit aktörleri bunları kolayca hedefleyemeyeceğinden, yeni güvenlik açıklarına maruz kalmasını önemli ölçüde azaltacaktır.
Şu anda, kötü amaçlı HTTP isteğinin karmaşıklığı ve yeni güvenlik açıklarından yararlanmaya yönelik diğer koşullar bilinmiyor. Yine de, istismarın kimlik doğrulama gerektirmemesi, bu kusurdan faydalanmayı kolaylaştırır.
Bilgisayar korsanları, Zyxel cihazlarında her zaman uzaktan yararlanılabilen ve güvenli bir ürün yazılımı sürümüne yama uygulanmamış cihazlara saldırmak için halka açık PoC (kavram kanıtı) istismarlarını hızla benimseyen kritik kusurları ararlar.
NAS cihazları, dosyaları şifrelemek ve fidye talepleri göndermek için güvenlik açıklarından uzaktan yararlanan fidye yazılımı operasyonları için özellikle çekici bir hedeftir. Geçmişte, QNAP ve Synology NAS cihazları, yaygın saldırılarda fidye yazılımları tarafından hedef alınmıştı.
Daha geçen ay, Zyxel güvenlik duvarları ve VPN ürünleri kullanıcıları, Mirai tabanlı bot ağlarından gelen büyük saldırı dalgalarına maruz kaldı ve muhtemelen daha seçici ve sofistike tehdit aktörleri tarafından hedef alındı.
Saldırganlar, ATP, USG FLEX, VPN ve ZyWALL cihazlarını etkileyen CVE-2023-28771, CVE-2023-33009 ve CVE-2023-33010 açıklarını aktif olarak hedef aldı.
Satıcı, Haziran ayının başında, bu ürünleri bir aydan uzun süredir devam eden saldırılara karşı korumaya yönelik rehberlik içeren bir güvenlik danışma belgesi yayınladı.
Bununla birlikte, saldırılar her an başlayabileceğinden, Zyxel NAS cihazlarının ve değerli verilerinin güvenliğini sağlamak için hemen harekete geçmek çok önemlidir.