TechSpot praznuje 25. obletnico. TechSpot pomeni tehnično analizo in nasvet, ki mu lahko zaupate.
Zakaj je pomembno: Zyxel je večinoma znan po svojih širokopasovnih in omrežnih ponudbah, vendar tajvansko podjetje prodaja tudi naprave NAS za uporabnike, ki potrebujejo ustrezno omrežno nastavitev shranjevanja. Vendar pa ranljiva enota NAS ni šala in Zyxel zdaj opozarja stranke na posebno neprijetno varnostno težavo, ki vpliva na njegove izdelke za shranjevanje.
Zyxel je pravkar izdal novo varnostno svetovanje, ki obravnava CVE-2023-27992, nevarno ranljivost, ki so jo varnostni raziskovalci odkrili v „nekaterih” napravah NAS, ki jih prodaja azijsko podjetje. Napaka, ki ima stopnjo resnosti 9,8 „Kritično”, je opisana kot ranljivost vbrizgavanja ukazov pred preverjanjem pristnosti, ki bi lahko povzročila kaos in nered (ali večinoma težave s kršitvijo podatkov) v omrežnih nastavitvah uporabnikov.
Zyxel pravi, da bi lahko ranljivost CVE-2023-27992 dovolila nepreverjenemu napadalcu, da izvede „nekatere” ukaze na ravni operacijskega sistema tako, da na daljavo pošlje posebej oblikovano zlonamerno zahtevo HTTP. Zaradi odsotnosti zahteve za preverjanje pristnosti je ranljivost še posebej težavna.
Podjetje ne zagotavlja nobenih omilitvenih ukrepov, kar se pogosto dogaja. Zyxel zdaj samo objavlja opozorilo o že razpoložljivih popravkih in potrebi po njihovi čimprejšnji namestitvi za „optimalno zaščito” pred morebitno grožnjo, ki prihaja iz interneta. Napake sta odkrila Andrej Zaujec iz NCSC-FI in Maxim Suslov.
Zyxel nemudoma zagotovi seznam podprtih naprav in različic strojne programske opreme, na katere vpliva ranljivost CVE-2023-27992, ki po interni, „temeljiti” preiskavi vključuje naslednje izdelke za omrežno shranjevanje:
- NAS326, vdelana programska oprema V5.21(AAZF.13)C0 in starejše, popravljeno v V5.21(AAZF.14)C0
- NAS540, vdelana programska oprema V5.21(AATB.10)C0 in starejše, popravljeno v V5.21(AATB.11)C0
- NAS542, vdelana programska oprema V5.21(ABAG.10)C0 in starejše, popravljeno v V5.21(ABAG.11)C0
Stranke bi morale namestiti najnovejše različice vdelane programske opreme, ki so na voljo za zgoraj omenjene modele NAS, saj kibernetski kriminalci in akterji groženj, ki jih sponzorira država, običajno hitro prilagodijo svoje strategije napada novim pomanjkljivostim in izkoriščanjem, testiranim proti omrežnim izdelkom.
Skupaj z drugimi proizvodnimi podjetji omrežne opreme, kot sta QNAP in Synology, je Zyxel dejansko pogosto tarča zlonamernih kampanj in zahrbtnih operacij izsiljevalske programske opreme, zasnovanih za ogrožanje organizacij in šifriranje podatkov uporabnikov. Prejšnji mesec so morali Zyxelovi požarni zidovi in naprave VPN prestati nov val množičnih napadov na daljavo, ki ciljajo na nekatere nedavno odkrite napake (CVE-2023-28771, CVE-2023-33009 in CVE-2023-33010).