Zyxel ออกอัปเดตอุดช่องโหว่ความรุนแรงสูงบนอุปกรณ์ NAS

Zyxel ออกอัปเดตอุดช่องโหว่ความรุนแรงสูงหลายตัว บนอุปกรณ์ NAS

Zyxel ได้ประกาศออกอัปเดตแพตช์ความปลอดภัยชุดใหม่ให้กับอุปกรณ์ NAS ซึ่งพบช่องโหว่บนผลิตภัณฑ์ NAS326 ที่ใช้งานเฟิร์มแวร์เวอร์ชันก่อนหน้า V5.21(AAZF.14)C0 และผลิตภัณฑ์ NAS542 ที่ใช้งานเฟิร์มแวร์เวอร์ชันก่อนหน้า V5.21(ABAG.11)C0 ซึ่งประกอบด้วยช่องโหว่ 6 ตัว ได้แก่

• CVE-2023-35137 (ความรุนแรง 7.5/10): ช่องโหว่ในการยืนยันตัวตนบน Authentication module ทำให้ผู้โจมตีสามารถเข้าถึงข้อมูล System information ได้ผ่านทาง URL ที่สร้างขึ้นมาเอง
• CVE-2023-35138 (ความรุนแรง 9.8/10): ช่องโหว่ Command injection ทำให้ผู้โจมตีสามารถส่งคำสั่งในระบบปฏิบัติการได้ผ่านทาง HTTP POST request โดยที่ไม่จำเป็นต้องยืนยันตัวตน
• CVE-2023-37927 (ความรุนแรง 8.8/10): ช่องโหว่บน CGI program ทำให้ผู้โจมตีที่ยืนยันตัวตนในระบบแล้วสามารถรันคำสั่งในระดับระบบปฏิบัติการได้
• CVE-2023-37928 (ความรุนแรง 8.8/10): ช่องโหว่ Post-authentication command injection บน WSGI server ทำผู้โจมตีสามารถรันคำสั่งในระดับระบบปฏิบัติการได้
• CVE-2023-4473 (ความรุนแรง 9.8/10): ช่องโหว่ Command injection บน Web server ของอุปกรณ์ ทำให้ผู้โจมตีสามารถสร้าง URL พิเศษเพื่อสั่งงานได้ที่ระดับระบบปฏิบัติการ
• CVE-2023-4474 (ความรุนแรง 9.8/10): ช่องโหว่บน WSGI server ของอุปกรณ์ ทำให้ผู้โจมตีสามารถสร้าง URL พิเศษเพื่อสั่งงานได้ที่ระดับระบบปฏิบัติการ

ผู้ที่ใช้งานควรทำการอัปเดตทันทีเนื่องจากเป็นช่องโหว่ที่มีความรุนแรงสูง โดยผู้ใช้งาน NAS326 สามารอัปเดตไปใช้งานเวอร์ชัน V5.21(AAZF.15)C0 และผู้ใช้งาน NAS542 สามารถอัปเดตไปใช้งานเวอร์ชัน V5.21(ABAG.12)C0 เพื่ออุดช่องโหว่ได้แล้ว

ที่มา: https://www.bleepingcomputer.com/news/security/zyxel-warns-of-multiple-critical-vulnerabilities-in-nas-devices/