[SA] Bezpečnostné poradenstvo - Bezpečnostné poradenstvo spoločnosti Zyxel týkajúce sa obchádzania autentifikácie a zraniteľností pri zadávaní príkazov v produktoch NAS

Vytvorené - Aktualizované
Serhii Boiarynov
Print Friendly and PDF
Máte ďalšie otázky? Vložiť žiadosť

Dôležité upozornenie:
Upozornenie: Vážený zákazník, upozorňujeme, že na poskytovanie článkov v miestnom jazyku používame strojový preklad. Nie všetok text môže byť preložený presne. Ak sa vyskytnú otázky alebo nezrovnalosti týkajúce sa presnosti informácií v preloženej verzii, prečítajte si prosím pôvodný článok tu: Pôvodná verzia

CVE: CVE-2023-35137, CVE-2023-35138, CVE-2023-37927, CVE-2023-37928, CVE-2023-4473, CVE-2023-4474

Zhrnutie

Spoločnosť Zyxel vydala opravy riešiace zraniteľnosť obídenia autentifikácie a zraniteľnosť vstrekovania príkazov v produktoch NAS. Používateľom sa odporúča, aby si ich nainštalovali pre optimálnu ochranu.

O aké zraniteľnosti ide?

CVE-2023-35137

Zraniteľnosť nesprávneho overovania v overovacom module v zariadeniach Zyxel NAS môže neautentifikovanému útočníkovi umožniť získať systémové informácie odoslaním vytvorenej adresy URL do zraniteľného zariadenia.

CVE-2023-35138

Zraniteľnosť vo funkcii "show_zysync_server_contents" v zariadeniach Zyxel NAS môže neautentifikovanému útočníkovi umožniť spustenie niektorých príkazov operačného systému (OS) odoslaním vytvorenej požiadavky HTTP POST.

CVE-2023-37927

Nesprávna neutralizácia špeciálnych prvkov v programe CGI v zariadeniach Zyxel NAS by mohla autentizovanému útočníkovi umožniť spustenie niektorých príkazov operačného systému odoslaním vytvorenej adresy URL do zraniteľného zariadenia.

CVE-2023-37928

Zraniteľnosť post-autentifikačného vstrekovania príkazov v serveri WSGI v zariadeniach Zyxel NAS by mohla autentifikovanému útočníkovi umožniť spustenie niektorých príkazov OS odoslaním vytvorenej adresy URL do zraniteľného zariadenia.

CVE-2023-4473

Zraniteľnosť vo webovom serveri v zariadeniach Zyxel NAS typu command injection by mohla neoverenému útočníkovi umožniť spustenie niektorých príkazov operačného systému odoslaním vytvorenej adresy URL na zraniteľné zariadenie.

CVE-2023-4474

Nesprávna neutralizácia špeciálnych prvkov v serveri WSGI v zariadeniach Zyxel NAS by mohla neautentifikovanému útočníkovi umožniť spustenie niektorých príkazov operačného systému odoslaním vytvorenej adresy URL na zraniteľné zariadenie.

Ktoré verzie sú zraniteľné - a čo by ste mali urobiť?

Po dôkladnom preskúmaní sme identifikovali zraniteľné produkty, ktoré sa nachádzajú v období podpory zraniteľnosti, pričom ich opravy firmvéru sú uvedené v nasledujúcej tabuľke.

Postihnutý model Postihnutá verzia Dostupnosť záplaty
NAS326 V5.21(AAZF.14)C0 a staršie V5.21(AAZF.15)C0
NAS542 V5.21(ABAG.11)C0 a staršie V5.21(ABAG.12)C0

Máte otázku?

Pre ďalšie informácie alebo pomoc sa obráťte na miestneho servisného zástupcu alebo navštívte komunitu spoločnosti Zyxel.

Potvrdenie

Ďakujeme nasledujúcim výskumníkom a konzultačným spoločnostiam v oblasti bezpečnosti:

  • Maximovi Suslovovi za CVE-2023-35137 a CVE-2023-35138
  • Gábor Selján z BugProve za CVE-2023-37927, CVE-2023-37928, CVE-2023-4473 a CVE-2023-4474
  • Drew Balfour zo spoločnosti X-Force Red pre CVE-2023-4473

História revízií

2023-11-7: Prvotnévydanie.

Články v tejto sekcii

Zobraziť viac
Pomohol Vám tento článok?
1 z 3 to považovali za užitočné
Zdieľať