Flera kritiska sårbarheter i Zyxels NAS-produkter

Flera kritiska sårbarheter har upptäckts i NAS-produkter från Zyxel. Sårbarheterna gör det möjligt för en angripare att få tillgång till sårbara enheter och nätverksmiljöer och på så sätt modifiera specifika filer och länkar och/eller köra godtyckliga kommandon. [1]

Sårbarheterna som fått högst CVSS-klassning (alla har 9,8 av 10) är följande:

• CVE-2023-35138 [2]
  En kommandoinjektionssårbarhet i funktionen “show_zysync_server_contents” som återfinns i Zyxel NAS-enheter. Sårbarheten kan göra det möjligt för en oautentiserad angripare att utföra vissa operativsystemkommandon genom att skicka en särskilt utformad HTTP POST-begäran.

• CVE-2023-4473 [3]
  En kommandoinjektionssårbarhet som påverkar webbservern i Zyxel NAS-enheter och som kan medföra att en oautentiserad angripare kan utföra vissa operativsystemkommandon genom att skicka en modifierad URL till en sårbar enhet.

• CVE-2023-4474 [4]
  Sårbarheten består i en felaktig neutralisering av vissa element i WSGI-servern i Zyxel NAS-enheter. Även denna sårbarhet kan medföra att en oautentiserad angripare kan utföra vissa operativsystemkommandon genom att skicka en modifierad URL till en sårbar enhet.

Zyxel har publicerat uppdateringar som åtgärdar sårbarheterna.

Påverkade produkter

Sårbarheterna berör följande produkter:

NAS326 (version 5.21(AAZF.14)C0 och äldre)
NAS542 (version 5.21(ABAG.11)C0 och äldre)

Rekommendationer

CERT-SE rekommenderar att installera säkerhetsuppdateringarna så snart som det är möjligt.

Källor

[1] https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-authentication-bypass-and-command-injection-vulnerabilities-in-nas-products

[2] https://www.cve.org/CVERecord?id=CVE-2023-35138

[3] https://www.cve.org/CVERecord?id=CVE-2023-4473

[4] https://www.cve.org/CVERecord?id=CVE-2023-4474