Ngày 20 tháng 6 năm 2023Ravie Lakshmanan Lỗ hổng / Bảo mật dữ liệu
Zyxel đã tung ra các bản cập nhật bảo mật để giải quyết một lỗ hổng bảo mật nghiêm trọng trong các thiết bị lưu trữ gắn mạng (NAS) có thể dẫn đến việc thực thi các lệnh tùy ý trên các hệ thống bị ảnh hưởng.
Được theo dõi dưới dạng CVE-2023-27992 (Điểm CVSS: 9,8), sự cố đã được mô tả là lỗ hổng chèn lệnh xác thực trước.
“Lỗ hổng chèn lệnh xác thực trước trong một số thiết bị NAS Zyxel có thể cho phép kẻ tấn công không được xác thực thực thi một số lệnh hệ điều hành (OS) từ xa bằng cách gửi yêu cầu HTTP được tạo thủ công”, Zyxel cho biết trong một lời khuyên được công bố hôm nay.
Andrej Zaujec, NCSC-FI và Maxim Suslov đã được ghi nhận là người đã phát hiện và báo cáo lỗ hổng. Các phiên bản sau bị ảnh hưởng bởi CVE-2023-27992 –
NAS326 (V5.21(AAZF.13)C0 trở về trước, được vá trong V5.21(AAZF.14)C0), NAS540 (V5.21(AATB.10)C0 trở về trước, được vá trong V5.21(AATB.11 )C0) và NAS542 (V5.21(ABAG.10)C0 trở về trước, được vá trong V5.21(ABAG.11)C0)
Cảnh báo được đưa ra hai tuần sau khi Cơ quan an ninh cơ sở hạ tầng và an ninh mạng Hoa Kỳ (CISA) hôm thứ Hai bổ sung hai lỗ hổng trong tường lửa Zyxel (CVE-2023-33009 và CVE-2023-33010) vào danh mục Lỗ hổng bị khai thác đã biết (KEV), dựa trên bằng chứng khai thác tích cực.
Với việc các thiết bị Zyxel trở thành nam châm tấn công cho các tác nhân đe dọa, khách hàng bắt buộc phải áp dụng các bản sửa lỗi càng sớm càng tốt để ngăn ngừa các rủi ro tiềm ẩn.