Zyxel vá lỗ hổng nghiêm trọng trên các thiết bị NAS

[Marcus1337]

Zyxel vừa khắc phục một lỗ hổng nghiêm trọng trong các thiết bị lưu trữ được kết nối mạng (NAS). Lỗ hổng này có thể dẫn đến việc thực thi các lệnh tùy ý trên các hệ thống bị ảnh hưởng.

​

Ổ cứng NAS (Network Attached Storage) là thiết bị lưu trữ được gắn vào thiết bị mạng, nhằm lưu trữ toàn bộ các file mà bạn có thể truy cập dễ dàng ở bất cứ nơi nào cũng như từ mọi thiết bị như smartphone, laptop, và PC. NAS có thể kết nối với mạng gia đình hoặc văn phòng, cung cấp đủ không gian cho các máy khách mạng được ủy quyền để lưu trữ và truy xuất tất cả các loại dữ liệu không dây từ một vị trí tập trung.

Lỗ hổng CVE-2023-27992 (điểm CVSS: 9.8) là lỗi pre-authentication cho phép chèn và thực thi các lệnh hệ thống (Command Injection). Zyxel cho biết: “Việc tiêm câu lệnh trước khi đăng nhập trong một số thiết bị NAS của Zyxel có thể cho phép kẻ tấn công chưa xác thực thực thi một số lệnh hệ điều hành từ xa bằng cách gửi một yêu cầu HTTP tự tạo."

Danh sách các phiên bản bị ảnh hưởng bởi lỗ hổng CVE-2023-27992:

• Phiên bản trước NAS326 (V5.21(AAZF.13)C0, được vá trong V5.21(AAZF.14)C0)
• Phiên bản trước NAS540 (V5.21(AATB.10)C0, được vá trong V5.21(AATB.11)C0)
• Phiên bản trước NAS542 (V5.21(ABAG.10)C0, được vá trong V5.21(ABAG.11)C0)

Cảnh báo xuất hiện sau 2 tuần từ khi CISA thêm các lỗ hổng trong tường lửa Zyxel (CVE-2023-33009 và CVE-2023-33010) vào danh mục các lỗ hổng đã được khai thác (KEV). Người dùng đang sử dụng các thiết bị của Zyxel bị ảnh hưởng bởi lỗ hổng cần cập nhật các bản vá càng sớm càng tốt để ngăn ngừa các rủi ro tiềm ẩn.

Theo The Hacker News​