Zyxel, ağa bağlı depolama (NAS) cihazlarında, etkilenen sistemlerde rastgele komutların yürütülmesine neden olabilecek kritik bir güvenlik açığını gidermek için güvenlik güncellemeleri yayınladı.
olarak izlendi CVE-2023-27992 (CVSS puanı: 9.8), sorun ön kimlik doğrulama komut enjeksiyon güvenlik açığı olarak tanımlanmıştır.
Zyxel bugün yayınlanan bir danışma belgesinde, “Bazı Zyxel NAS cihazlarındaki kimlik doğrulama öncesi komut ekleme güvenlik açığı, kimliği doğrulanmamış bir saldırganın hazırlanmış bir HTTP isteği göndererek bazı işletim sistemi (OS) komutlarını uzaktan yürütmesine izin verebilir.” Dedi.
Andrej Zaujec, NCSC-FI ve Maxim Suslov, kusuru keşfedip bildirdikleri için kredilendirildi. Aşağıdaki sürümler CVE-2023-27992’den etkilenir –
- NAS326 (V5.21(AAZF.13)C0 ve öncesi, V5.21(AAZF.14)C0’da yamalı),
- NAS540 (V5.21(AATB.10)C0 ve öncesi, V5.21(AATB.11)C0’da yamalı) ve
- NAS542 (V5.21(ABAG.10)C0 ve öncesi, V5.21(ABAG.11)C0’da yamalı)
Uyarı, ABD Siber Güvenlik ve Altyapı Güvenliği Dairesi’nin (CISA) Pazartesi günü, kanıtlara dayalı olarak Bilinen Yararlı Güvenlik Açıkları (KEV) kataloğuna Zyxel güvenlik duvarlarında (CVE-2023-33009 ve CVE-2023-33010) iki açık eklemesinden iki hafta sonra geldi. aktif sömürü.
Zyxel cihazlarının tehdit aktörleri için bir saldırı mıknatısı haline gelmesiyle, potansiyel riskleri önlemek için müşterilerin düzeltmeleri mümkün olan en kısa sürede uygulamaları zorunludur.