Zyxel, NAS, Güvenlik Duvarı ve AP Cihazlarındaki 15 Kusuru Düzeltecek Yamalar Yayınladı

   Aralık 1, 2023  Posted in TheHackerNews


01 Aralık 2023Haber odasıGüvenlik Duvarı / Ağ Güvenliği

Zyxel

Zyxel, ağa bağlı depolama (NAS), güvenlik duvarı ve erişim noktası (AP) cihazlarını etkileyen, kimlik doğrulamanın atlanmasına ve komut enjeksiyonuna yol açabilecek üç kritik kusur da dahil olmak üzere 15 güvenlik sorununu gidermek için yamalar yayınladı.

Üç güvenlik açığı aşağıda listelenmiştir:

  • CVE-2023-35138 (CVSS puanı: 9,8) – Kimliği doğrulanmamış bir saldırganın, hazırlanmış bir HTTP POST isteği göndererek bazı işletim sistemi komutlarını yürütmesine olanak tanıyan bir komut yerleştirme güvenlik açığı.
  • CVE-2023-4473 (CVSS puanı: 9,8) – Kimliği doğrulanmamış bir saldırganın, güvenlik açığı bulunan bir cihaza hazırlanmış bir URL göndererek bazı işletim sistemi komutlarını yürütmesine olanak tanıyan, web sunucusundaki bir komut yerleştirme güvenlik açığı.
  • CVE-2023-4474 (CVSS puanı: 9,8) – Kimliği doğrulanmamış bir saldırganın, güvenlik açığı bulunan bir cihaza hazırlanmış bir URL göndererek bazı işletim sistemi komutlarını yürütmesine olanak verebilecek, özel öğelerin güvenlik açığının uygunsuz şekilde etkisiz hale getirilmesi.

Ayrıca Zyxel tarafından yamalanan üç yüksek önem dereceli kusur (CVE-2023-35137, CVE-2023-37927 ve CVE-2023-37928) başarıyla kullanılırsa saldırganların sistem bilgilerini ele geçirmesine ve rastgele komutlar yürütmesine olanak tanıyabilir. Hem CVE-2023-37927 hem de CVE-2023-37928’in kimlik doğrulama gerektirdiğini belirtmekte fayda var.

Siber güvenlik

Kusurlar aşağıdaki modelleri ve versiyonları etkilemektedir:

  • NAS326 – V5.21(AAZF.14)C0 ve önceki sürümler (V5.21(AAZF.15)C0’da yamalı)
  • NAS542 – V5.21(ABAG.11)C0 ve önceki sürümler (V5.21(ABAG.12)C0’da yamalı)

Uyarı, Tayvanlı ağ satıcısının belirli güvenlik duvarı ve erişim noktası (AP) sürümlerindeki dokuz kusur için düzeltmeler göndermesinden birkaç gün sonra geldi; bu kusurlardan bazıları sistem dosyalarına ve yönetici günlüklerine erişmek için silah olarak kullanılabilir ve hizmet reddine neden olabilir ( DoS) koşulu.

Zyxel cihazları sıklıkla tehdit aktörleri tarafından istismar edildiğinden, kullanıcıların potansiyel tehditleri azaltmak için en son güncellemeleri uygulamaları önemle tavsiye edilir.

Bu makaleyi ilginç buldunuz mu? Bizi takip edin heyecan ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link