Zyxel, kimliği doğrulanmamış saldırganlar tarafından kolayca kullanılabilecek çeşitli (OS) komut ekleme kusurları da dahil olmak üzere, ağa bağlı depolama (NAS) cihazlarını etkileyen altı güvenlik açığını düzeltti.
Zyxel NAS cihazlarındaki güvenlik açıkları
Tıkanmış altı güvenlik açığından biri, cihazların kimlik doğrulama modülündeki uygunsuz bir kimlik doğrulama güvenlik açığıdır (CVE-2023-35137) ve kimliği doğrulanmamış saldırganların, güvenlik açığı bulunan bir cihaza özel hazırlanmış bir URL göndererek sistem bilgilerini ele geçirmesine olanak verebilir.
Geriye kalan beşi (CVE-2023-35138, CVE-2023-37927, CVE-2023-37928, CVE-2023-4473, CVE-2023-4474), Zyxel NAS cihazlarının çeşitli işlev ve sunucularındaki komut enjeksiyon güvenlik açıklarıdır. Kimliği doğrulanmış veya doğrulanmamış saldırganların, savunmasız bir aygıta yalnızca hazırlanmış bir URL veya HTTP POST isteği göndererek bazı işletim sistemi komutlarını yürütmesine izin verebilirler.
CVE-2023-4473, IBM X-Force araştırmacısı Drew Balfour tarafından önceden düzeltilen kritik bir Zyxel NAS hatasını araştırırken keşfedildi (CVE-2023-27992).
“Orijinal sorunun temel nedeninin araştırılması sırasında, yeni bir kusur olan CVE-2023-4473 ve CVE-2023-27992 yamasına yönelik bir bypass ortaya çıkarıldı. Hepsi bir araya geldiğinde, Zyxel NAS cihazlarında önceden kimlik doğrulaması yapılmış uzaktan kod yürütülmesine olanak sağlıyor.”
Ne yapalım?
Zyxel NAS cihazları, bunları veri depolama, yedekleme ve işbirliğini sağlamak için kullanan küçük ve orta ölçekli işletmeler (KOBİ’ler) arasında popüler bir seçimdir.
Çeşitli üreticilerin NAS cihazları genellikle, üzerlerinde depolanan verileri sızdıran veya şifreleyen ve fidye için saklayan saldırganlar tarafından hedef alınır. Saldırganların ayrıca dikkat çekmedikleri ve savunmasız cihazlara erişimden yararlandıkları da bilinmektedir.
