Firma Zyxel wydała poprawki na 15 problemów związanych z bezpiecze-

ństwem, które dotyczą urządzeń typu sieciowy system pamięci masowej (NAS), zapory ogniowej (firewall) oraz punktu dostępowego (AP). Wśród nich znajdują się trzy krytyczne luki, które mogą prowadzić do obejścia autentykacji i iniekcji poleceń.

Pierwsza z trzech najważniejszych luk (CVE-2023-35138, ocena CVSS: 9.8) to podatność na iniekcję poleceń, która umożliwia nieuwierzytelnionym atakującym wykonanie pewnych poleceń systemu operacyjnego poprzez wysłanie spreparowanego żądania HTTP POST. Druga (CVE-2023-4473, ocena CVSS: 9.8) również dotyczy iniekcji poleceń w serwerze sieciowym, umożliwiając wykonanie poleceń systemu operacyjnego przez wysłanie spreparowanego adresu URL do podatnego urządzenia. Trzecia (CVE-2023-4474, ocena CVSS: 9.8) to podatność na niewłaściwe neutralizowanie specjalnych elementów, która także umożliwia wykonanie poleceń systemu operacyjnego przez wysłanie spreparowanego adresu.

Zyxel naprawił również trzy inne luki o wysokim stopniu zagrożenia, które mogłyby umożliwić atakującym uzyskanie informacji o systemie i wykonanie dowolnych poleceń. Warto zauważyć, że dwa z nich (CVE-2023-37927 i CVE-2023-37928) wymagają uwierzytelnienia.

Luki te wpłynęły na modele i wersje urządzeń, takie jak NAS326 i NAS542. Wydanie tych poprawek nastąpiło niedługo po tym, jak tajwański producent sprzętu sieciowego wysłał poprawki dla dziewięciu luk w wybranych wersjach zapór ogniowych i punktów dostępowych (AP), z których niektóre mogłyby być wykorzystane do uzyskania dostępu do plików systemowych, logów administratora oraz spowodowania odmowy usługi (DoS).

Zaleca się użytkownikom urządzeń Zyxel zastosowanie najnowszych aktualizacji w celu zminimalizowania potencjalnych zagrożeń

TAGS: usługi informatyczne Gdańsk, opieka informatyczna Gdańsk,  obsługa informatyczna Gdańsk