Zyxel, mobil ve geniş bant ağ ürünleri ve ağ tabanlı depolama erişimine yönelik bazı NAS cihazlarıyla tanınan Tayvanlı bir üreticidir. Bu NAS ürünlerinden ikisi, şirketin halihazırda bir güvenlik güncellemesi sağladığı altı tehlikeli güvenlik açığından etkileniyor.
Zyxel yakın zamanda şirketin NAS cihazlarında keşfedilen bir dizi güvenlik açığı için yeni bir güvenlik tavsiyesi yayınladı . Zyxel, altı kusurun, kimlik doğrulama protokollerini atlamak ve NAS OS'ye kötü amaçlı komutlar enjekte etmek için kötüye kullanılabileceği konusunda uyardı . Kullanıcıların, ağ depolama kurulumlarında "en iyi koruma" için halihazırda mevcut olan güvenlik yamalarını yüklemeleri önerilir.
Çok yüksek önem puanlarına sahip üç kritik kusur içeren yeni keşfedilen güvenlik açıkları, aşağıdaki CVE izlemeli bültenlerde açıklanmaktadır: CVE-2023-35137, CVE-2023-35138, CVE-2023-37927, CVE-2023-37928 , CVE-2023-4473, CVE-2023-4474. İlk kusurun (CVE-2023-35137) önem puanı 7,5'tir ve Zyxel NAS cihazlarında, kimliği doğrulanmamış bir saldırganın özel hazırlanmış bir URL ile sistem bilgilerini elde etmesine olanak tanıyan uygunsuz bir kimlik doğrulamasıyla ilgilidir.
Zyxel, ikinci kusurun (CVE-2023-35138) "show_zysync_server_contents" işlevindeki kritik bir güvenlik açığı olduğunu (9,8 ciddiyet puanı) ve bilgisayar korsanlarına belirli bir HTTP POST isteği göndererek "bazı" işletim sistemi komutlarını yürütme yolu sağlayabileceğini açıklıyor . Üçüncü kusur (CVE-2023-37927), CGI programındaki özel öğelerin uygunsuz şekilde etkisizleştirilmesine neden olan ve saldırganların hazırlanmış bir URL göndererek işletim sistemi komutlarını yürütmesine olanak tanıyan yüksek önem derecesine sahip bir hatadır (8.8).
Dördüncü kusur (CVE-2023-37928), WSGI sunucusundaki kimlik doğrulama sonrası komut ekleme güvenlik açığıdır (8.8), kötü amaçlı bir URL aracılığıyla bir kez daha işletim sistemi komut yürütme fırsatı açabilir. Beşinci kusur (CVE-2023-4473), Zyxel NAS'ın web sunucusunda aynı şekilde istismar edilebilecek kritik bir hatadır (9.8). Son olarak, altıncı kusur (CVE-2023-4474), WSGI sunucusundaki özel öğelerin uygun olmayan şekilde nötrleştirilmesinden kaynaklanan bir başka kritik sorundur (9.8).
Zyxel, güvenlik kusurlarını keşfetme konusunda üç araştırmacının (Maxim Suslov, Gábor Selján, Drew Balfour) yaptığı çalışmaları takdir etti. Şirket, NAS326 ve NAS542 ağ depolama modelleri de dahil olmak üzere kusurlardan etkilenen desteklenen cihazları belirlemek için "kapsamlı bir araştırma" gerçekleştirdi.
Tayvanlı üretici, cihazları yeni kusurlara karşı korumak için olası herhangi bir hafifletici önlem veya geçici çözüm sunmadı. Verilerini siber suçlulardan korumak için müşterilerin aşağıdaki donanım yazılımı güncellemelerini yüklemeleri gerekir: NAS326 için V5.21(AAZF.15)C0, NAS542 için V5.21(ABAG.12)C0.
