[SA] Beveiligingsadvies - Zyxel-beveiligingsadvies voor kwetsbaarheden in de authenticatieomleiding en opdrachtinjectie in NAS-producten

Gemaakt - Bijgewerkt
Serhii Boiarynov
Print Friendly and PDF
Hebt u meer vragen? Een aanvraag indienen

Belangrijke mededeling:
Geachte klant, houd er rekening mee dat we gebruik maken van automatische vertaling om artikelen in uw lokale taal aan te bieden. Het is mogelijk dat niet alle tekst nauwkeurig wordt vertaald. Als er vragen of discrepanties zijn over de juistheid van de informatie in de vertaalde versie, bekijk dan het originele artikel hier: Originele versie

CVE's: CVE-2023-35137, CVE-2023-35138, CVE-2023-37927, CVE-2023-37928, CVE-2023-4473, CVE-2023-4474

Samenvatting

Zyxel heeft patches uitgebracht die een kwetsbaarheid in de omzeiling van de authenticatie en kwetsbaarheden in de opdrachtinjectie in NAS-producten verhelpen. Gebruikers wordt geadviseerd deze te installeren voor optimale bescherming.

Wat zijn de kwetsbaarheden?

CVE-2023-35137

Door een kwetsbaarheid voor onjuiste verificatie in de verificatiemodule in Zyxel NAS-apparaten kan een niet-geauthenticeerde aanvaller systeeminformatie verkrijgen door een bewerkte URL naar een kwetsbaar apparaat te sturen.

CVE-2023-35138

Dooreen kwetsbaarheid voor opdrachtinjectie in de functie "show_zysync_server_contents" in Zyxel NAS-apparaten kan een niet-geauthenticeerde aanvaller bepaalde opdrachten van het besturingssysteem (OS) uitvoeren door een aangepast HTTP POST-verzoek te verzenden.

CVE-2023-37927

Door het onjuist neutraliseren van speciale elementen in het CGI-programma in Zyxel NAS-apparaten kan een geauthenticeerde aanvaller sommige OS-opdrachten uitvoeren door een vervalste URL te verzenden naar een kwetsbaar apparaat.

CVE-2023-37928

Door een post-authenticatie kwetsbaarheid voor opdrachtinjectie in de WSGI-server in Zyxel NAS-apparaten kan een geauthenticeerde aanvaller sommige OS-opdrachten uitvoeren door een vervalste URL naar een kwetsbaar apparaat te sturen.

CVE-2023-4473

Door een kwetsbaarheid voor opdrachtinjectie in de webserver van Zyxel NAS-apparaten kan een niet-geauthenticeerde aanvaller bepaalde OS-opdrachten uitvoeren door een vervalste URL naar een kwetsbaar apparaat te sturen.

CVE-2023-4474

Door het onjuist neutraliseren van speciale elementen in de WSGI-server in Zyxel NAS-apparaten kan een niet-geauthenticeerde aanvaller bepaalde OS-opdrachten uitvoeren door een vervalste URL naar een kwetsbaar apparaat te sturen.

Welke versies zijn kwetsbaar en wat moet u doen?

Na grondig onderzoek hebben we de kwetsbare producten geïdentificeerd die binnen hun ondersteuningsperiode voor kwetsbaarheden vallen, met hun firmwarepatches in de onderstaande tabel.

Betroffen model Betreffende versie Beschikbaarheid patch
NAS326 V5.21(AAZF.14)C0 en eerder V5.21(AAZF.15)C0
NAS542 V5.21(ABAG.11)C0 en eerder V5.21(ABAG.12)C0

Hebt u een vraag?

Neem contact op met uw lokale servicevertegenwoordiger of bezoek de community van Zyxel voor meer informatie of hulp.

Erkenning

Met dank aan de volgende beveiligingsonderzoekers en adviesbureaus:

  • Maxim Suslov voor CVE-2023-35137 en CVE-2023-35138
  • Gábor Selján van BugProve voor CVE-2023-37927, CVE-2023-37928, CVE-2023-4473 en CVE-2023-4474
  • Drew Balfour van X-Force Red voor CVE-2023-4473

Herzieningsgeschiedenis

2023-11-7: Eersteuitgave.

Artikelen in deze sectie

Zie meer
Was dit artikel nuttig?
Aantal gebruikers dat dit nuttig vond: 1 van 3
Delen