[SA] Avviso di sicurezza - Avviso di sicurezza Zyxel per vulnerabilità di bypass dell'autenticazione e iniezione di comandi nei prodotti NAS

Creato - Aggiornato
Serhii Boiarynov
Print Friendly and PDF
Altre domande? Invia una richiesta

Avviso importante:
Gentile cliente, si prega di notare che utilizziamo la traduzione automatica per fornire articoli nella vostra lingua locale. Non tutto il testo può essere tradotto accuratamente. Se ci sono domande o discrepanze sull'accuratezza delle informazioni nella versione tradotta, si prega di rivedere l'articolo originale qui:Versione originale

CVE: CVE-2023-35137, CVE-2023-35138, CVE-2023-37927, CVE-2023-37928, CVE-2023-4473, CVE-2023-4474

Riassunto

Zyxel ha rilasciato delle patch che risolvono una vulnerabilità di bypass dell'autenticazione e vulnerabilità di iniezione di comandi nei prodotti NAS. Si consiglia agli utenti di installarle per una protezione ottimale.

Quali sono le vulnerabilità?

CVE-2023-35137

Una vulnerabilità di autenticazione impropria nel modulo di autenticazione dei dispositivi NAS Zyxel potrebbe consentire a un aggressore non autenticato di ottenere informazioni sul sistema inviando un URL modificato a un dispositivo vulnerabile.

CVE-2023-35138

Una vulnerabilità di iniezione di comandi nella funzione "show_zysync_server_contents" nei dispositivi NAS Zyxel potrebbe consentire a un utente non autenticato di eseguire alcuni comandi del sistema operativo (OS) inviando una richiesta HTTP POST modificata.

CVE-2023-37927

La neutralizzazione impropria di elementi speciali nel programma CGI nei dispositivi NAS Zyxel potrebbe consentire a un aggressore autenticato di eseguire alcuni comandi del sistema operativo inviando un URL artigianale a un dispositivo vulnerabile.

CVE-2023-37928

Una vulnerabilità di iniezione di comandi post-autenticazione nel server WSGI dei dispositivi NAS Zyxel potrebbe consentire a un utente autenticato di eseguire alcuni comandi del sistema operativo inviando un URL di tipo artigianale a un dispositivo vulnerabile.

CVE-2023-4473

Una vulnerabilità di command injection nel server web dei dispositivi NAS Zyxel potrebbe consentire a un utente non autenticato di eseguire alcuni comandi del sistema operativo inviando un URL di tipo artigianale a un dispositivo vulnerabile.

CVE-2023-4474

La neutralizzazione impropria di elementi speciali nel server WSGI dei dispositivi NAS Zyxel potrebbe consentire a un utente non autenticato di eseguire alcuni comandi del sistema operativo inviando un URL di tipo artigianale a un dispositivo vulnerabile.

Quali versioni sono vulnerabili e cosa bisogna fare?

Dopo un'indagine approfondita, abbiamo identificato i prodotti vulnerabili che rientrano nel periodo di supporto della vulnerabilità, con le relative patch del firmware riportate nella tabella seguente.

Modello interessato Versione interessata Disponibilità della patch
NAS326 V5.21(AAZF.14)C0 e precedenti V5.21(AAZF.15)C0
NAS542 V5.21(ABAG.11)C0 e precedenti V5.21(ABAG.12)C0

Avete domande?

Contattare il rappresentante dell'assistenza locale o visitare la community di Zyxel per ulteriori informazioni o assistenza.

Riconoscimenti

Si ringraziano i seguenti ricercatori e consulenti di sicurezza:

  • Maxim Suslov per CVE-2023-35137 e CVE-2023-35138
  • Gábor Selján di BugProve per CVE-2023-37927, CVE-2023-37928, CVE-2023-4473 e CVE-2023-4474
  • Drew Balfour di X-Force Red per CVE-2023-4473

Cronologia delle revisioni

2023-11-7:Rilascio iniziale.

Articoli in questa sezione

Vedi altro
Questo articolo ti è stato utile?
Utenti che ritengono sia utile: 1 su 3
Condividi