Zyxel, kimliği doğrulanmamış bir saldırganın savunmasız ağa bağlı depolama (NAS) cihazlarında işletim sistemi komutlarını yürütmesine izin verebilecek üç kritik sorun da dahil olmak üzere çok sayıda güvenlik sorununu ele aldı.
Zyxel NAS sistemleri, verileri ağ üzerinde merkezi bir konumda depolamak için kullanılır. Yüksek hacimli veriler için tasarlanmışlardır ve veri yedekleme, medya akışı veya özelleştirilmiş paylaşım seçenekleri gibi özellikler sunarlar.
Tipik Zyxel NAS kullanıcıları arasında veri yönetimi, uzaktan çalışma ve işbirliği özelliklerini birleştiren bir çözüm arayan küçük ve orta ölçekli işletmelerin yanı sıra veri yedekleme sistemleri kuran BT profesyonelleri veya büyük dosyalarla çalışan videografçılar ve dijital sanatçılar yer alır.
Bugün yayınlanan bir güvenlik bülteninde satıcı, 5.21(AAZF.14)C0 ve önceki sürümlerini çalıştıran NAS326 cihazlarını ve 5.21(ABAG.11)C0 ve önceki sürümlerini çalıştıran NAS542 cihazlarını etkileyen aşağıdaki kusurlar konusunda uyarıyor.
- CVE-2023-35137: Zyxel NAS cihazlarının kimlik doğrulama modülündeki, kimliği doğrulanmamış saldırganların hazırlanmış bir URL aracılığıyla sistem bilgilerini elde etmesine olanak tanıyan uygunsuz kimlik doğrulama güvenlik açığı. (yüksek şiddet puanı 7,5)
- CVE-2023-35138: Zyxel NAS cihazlarındaki “show_zysync_server_contents” işlevindeki komut ekleme kusuru, kimliği doğrulanmamış saldırganların hazırlanmış bir HTTP POST isteği aracılığıyla işletim sistemi komutlarını yürütmesine izin veriyor. (kritik şiddet puanı 9,8)
- CVE-2023-37927: Zyxel NAS cihazlarının CGI programındaki güvenlik açığı, kimliği doğrulanmış saldırganların hazırlanmış bir URL ile işletim sistemi komutlarını yürütmesine olanak tanır. (yüksek şiddet puanı 8,8)
- CVE-2023-37928: Zyxel NAS cihazlarının WSGI sunucusuna kimlik doğrulama sonrası komut ekleme, kimliği doğrulanmış saldırganların hazırlanmış bir URL aracılığıyla işletim sistemi komutlarını yürütmesine olanak tanır. (yüksek şiddet puanı 8,8)
- CVE-2023-4473: Zyxel NAS cihazlarının web sunucusundaki komut ekleme kusuru, kimliği doğrulanmamış saldırganların hazırlanmış bir URL aracılığıyla işletim sistemi komutlarını yürütmesine izin veriyor. (kritik şiddet puanı 9,8)
- CVE-2023-4474: Zyxel NAS cihazlarının WSGI sunucusundaki, kimliği doğrulanmamış saldırganların hazırlanmış bir URL ile işletim sistemi komutlarını yürütmesine olanak tanıyan güvenlik açığı. (kritik şiddet puanı 9,8)
Tehdit aktörleri, yetkisiz erişim elde etmek, bazı işletim sistemi komutlarını yürütmek, hassas sistem bilgilerini elde etmek veya etkilenen Zyxel NAS cihazlarının tam kontrolünü ele geçirmek için yukarıdaki güvenlik açıklarından yararlanabilir.
Bu riskleri gidermek için NAS326 kullanıcılarının V5.21(AAZF.15)C0 veya sonraki bir sürüme yükseltmeleri önerilir. NAS542 kullanıcıları, donanım yazılımlarını yukarıdaki kusurları gideren V5.21(ABAG.12)C0 veya sonraki bir sürüme yükseltmelidir.
Satıcı herhangi bir hafifletme tavsiyesi veya geçici çözüm sağlamadı; önerilen eylem ürün yazılımı güncellemesidir.