Zyxel warns of multiple critical vulnerabilities in NAS devices
2023/11/30 BleepingComputer — Zyxel は、3つの深刻な脆弱性を含む、複数のセキュリティ問題に対処した。それらの脆弱性の悪用に成功した未認証の攻撃者が、脆弱な NAS (Network-Attached Storage) デバイス上で OS コマンドの実行する可能性のあるという。Zyxel NAS システムは、ネットワーク上の一元化された場所へのデータ保存のために使用されている。それらの製品は、大容量のデータ用に設計されており、データ・バックアップ/メディア・ストリーミングに加えて、カスタマイズされた共有オプションなどの機能を提供する。
Zyxel NAS の主なユーザーには、データ管理/リモートワーク/コラボレーション機能などのソリューションを求める中小企業や、データ冗長化システムを構築する IT 専門家、大容量ファイルを扱うビデオ・グラファーやデジタル・アーティストなどがいる。
Zyxel は、11月30日に発表したセキュリティ・アドバイザリにおいて、NAS326 デバイス 5.21 (AAZF.14) C0 以下/NAS542 5.21 (ABAG.11) C0 以下に、下記の脆弱性が存在すると警告している。
- CVE-2023-35137 (CVSS:7.5):Zyxel NAS デバイスの認証モジュールにおける不適切な認証の脆弱性。認証されていない攻撃者が、細工された URL を介してシステム情報を不正取得する可能がある。
- CVE-2023-35138 (CVSS:9.8):Zyxel NAS デバイスにおける “show_zysync_server_contents” 関数のコマンド・インジェクションの脆弱性。認証されていない攻撃者が、細工した HTTP POST リクエストを介して OS コマンドを実行する可能性がある。
- CVE-2023-37927 (CVSS:8.8): Zyxel NAS デバイスの CGI プログラムにおける脆弱性。認証済みの攻撃者が細工した URL を使って OS コマンドを実行する可能性がある。
- CVE-2023-37928 (CVSS:8.8): Zyxel NAS デバイスの WSGI サーバにおける認証後のコマンド・インジェクションの脆弱性。認証済みの攻撃者が、細工した URL を用いて OS コマンドを実行する可能性がある。
- CVE-2023-4473 (CVSS :9.8):Zyxel NAS デバイスの Web サーバーにコマンド・インジェクションの脆弱性。認証されていない攻撃者が細工した URL を介して、OS コマンドを実行する可能性がある。
- CVE-2023-4474 (CVSS :9.8):Zyxel NAS デバイスの WSGI サーバーの脆弱性。認証されていない攻撃者が、細工した URL を介して OS コマンドを実行する可能性がある。
上記の脆弱性の悪用に成功した脅威アクターは、不正アクセス/OS コマンド実行/機密システム情報の取得/影響を受ける Zyxel NAS デバイスの完全な制御などを可能にする。
これらのリスクに対処するためには、NAS326 V5.21 (AAZF.15) C0 以降/NAS542 V5.21 (ABAG.12) C0 以降にファームウェアをアップグレードすることが推奨される。
現時点において、ベンダーから緩和策および回避策は提供されていない。
Zyxel の NAS に脆弱性です。ご利用のチームは、リンクなどから、詳細をご確認ください。関連記事を調べてみたら、最近では 2023/06/20 に「Zyxel NAS のコマンド・インジェクションの脆弱性 CVE-2023-27992 が FIX:ただちにパッチを!」がポストされていました。よろしければ、Zyxel で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.