O fabricante taiwanês de equipamentos de rede, NAS (Network Attached Storage) e muitos outros equipamentos Zyxel informou aos clientes sobre a descoberta de uma série de vulnerabilidades em dois modelos de NAS. No total, foram descobertas seis vulnerabilidades perigosas através das quais os armazenamentos de rede podem ser hackeados. A fabricante já lançou atualizações de firmware com correções de segurança.
Fonte da imagem: oitosoftsolution.com
Há algum tempo, a Zyxel lançou um novo comunicado de segurança sobre vulnerabilidades identificadas em dispositivos NAS. Seis tolos podem ser usados por invasores para contornar protocolos de autenticação e injetar comandos maliciosos no sistema operacional (SO) de armazenamento. Os usuários são fortemente encorajados a instalar patches de segurança que já estão disponíveis para “proteger de forma confiável” seus dados.
As vulnerabilidades recém-descobertas, que incluem três problemas críticos com classificações de gravidade muito altas, são descritas nos seguintes boletins CVE rastreados: CVE-2023-35137, CVE-2023-35138, CVE-2023-37927, CVE-2023-37928, CVE -2023-4473, CVE-2023-4474.
- A primeira vulnerabilidade, CVE-2023-35137, recebeu uma classificação de gravidade de 7,5 e está associada à autenticação incorreta em servidores Zyxel NAS. A autenticação incorreta pode permitir que um invasor não autenticado obtenha informações do sistema por meio de uma URL especialmente criada.
- O segundo problema (CVE-2023-35138) é uma vulnerabilidade crítica com uma classificação de gravidade de 9,8 na função show_zysync_server_contents. De acordo com as explicações dos especialistas da Zyxel, esta vulnerabilidade pode dar a um hacker a oportunidade de executar alguns comandos do sistema operacional enviando uma determinada solicitação POST via HTTP.
- A terceira vulnerabilidade (CVE-2023-37927) tem uma classificação de gravidade de 8,8 pontos. Está associado à neutralização inadequada de elementos especiais no programa CGI (Common Gateway Interface), que permite que um invasor execute comandos do sistema operacional enviando uma URL falsa.
- A quarta falha (CVE-2023-37928) é uma vulnerabilidade com pontuação 8,8 que permite a injeção de comandos após autenticação em um servidor WSGI (Web Server Gateway Interface), o que novamente pode abrir a possibilidade de execução de comandos do SO por meio de uma URL maliciosa.
- A quinta falha (CVE-2023-4473) é um erro crítico (9,8 pontos) no servidor web Zyxel NAS, que pode ser explorado de forma semelhante.
- Por fim, o sexto defeito (CVE-2023-4474) é outro problema crítico (9,8 pontos) que surgiu devido à neutralização incorreta de elementos especiais no servidor WSGI.
Zyxel destacou o trabalho de alta qualidade de três pesquisadores – Maxim Suslov, Gábor Selján e Drew Balfour – na identificação de problemas no sistema de segurança. A Zyxel conduziu uma “investigação completa” para identificar os dispositivos afetados pelos defeitos, que incluem os modelos de armazenamento de rede NAS326 e NAS542.
O fabricante taiwanês ainda não anunciou quaisquer possíveis mitigações ou soluções alternativas para proteger o NAS dos novos defeitos. Para proteger seus dados contra criminosos cibernéticos, os usuários precisam instalar as seguintes atualizações de firmware: V5.21 (AAZF.15)C0 para NAS326 e V5.21(ABAG.12)C0 para NAS542.