L’entreprise taïwanaise est à nouveau en mode crise à cause de vilaines failles de sécurité
En bref: Zyxel est un fabricant taïwanais mieux connu pour ses produits de réseau mobile et haut débit et certains périphériques NAS pour l’accès au stockage en réseau. Deux de ces produits NAS sont affectés par six vulnérabilités dangereuses, pour lesquelles la société a déjà fourni une mise à jour de sécurité.
Zyxel a récemment publié un nouvel avis de sécurité concernant un certain nombre de vulnérabilités de sécurité découvertes dans les appareils NAS de l’entreprise. Les six failles pourraient être exploitées pour contourner les protocoles d’authentification et injecter des commandes malveillantes dans le système d’exploitation NAS, a prévenu Zyxel. Il est conseillé aux utilisateurs d’installer les correctifs de sécurité déjà disponibles pour une « protection optimale » dans leurs configurations de stockage réseau.
Les vulnérabilités récemment découvertes, qui incluent trois failles critiques avec des scores de gravité très élevés, sont décrites dans les bulletins suivis CVE suivants : CVE-2023-35137, CVE-2023-35138, CVE-2023-37927, CVE-2023-37928. , CVE-2023-4473, CVE-2023-4474. La première faille (CVE-2023-35137) a un score de gravité de 7,5 et concerne une authentification incorrecte dans les périphériques NAS Zyxel qui pourrait permettre à un attaquant non authentifié d’obtenir des informations système avec une URL spécialement conçue.
La deuxième faille (CVE-2023-35138) est une vulnérabilité critique (score de gravité de 9,8) dans la fonction « show_zysync_server_contents », explique Zyxel, qui pourrait fournir aux pirates un moyen d’exécuter « certaines » commandes du système d’exploitation en envoyant une requête HTTP POST spécifique. . La troisième faille (CVE-2023-37927) est un bug de haute gravité (8.8) avec une neutralisation inappropriée d’éléments spéciaux dans le programme CGI, qui pourrait permettre aux attaquants d’exécuter des commandes du système d’exploitation en envoyant une URL contrefaite.
La quatrième faille (CVE-2023-37928) est une vulnérabilité d’injection de commande post-authentification (8.8) dans le serveur WSGI, qui pourrait à nouveau ouvrir une opportunité d’exécution de commande du système d’exploitation via une URL malveillante. La cinquième faille (CVE-2023-4473) est un bug critique (9.8) du serveur web du NAS Zyxel qui pourrait être exploité de la même manière. Enfin, la sixième faille (CVE-2023-4474) est encore un autre problème critique (9.8) résultant d’une neutralisation inappropriée d’éléments spéciaux dans le serveur WSGI.
Zyxel a reconnu le travail effectué par trois chercheurs (Maxim Suslov, Gábor Selján, Drew Balfour) pour découvrir les failles de sécurité. La société a mené une « enquête approfondie » pour identifier les appareils pris en charge affectés par les failles, notamment les modèles de stockage réseau NAS326 et NAS542.
Le fabricant taïwanais n’a fourni aucune mesure d’atténuation ou solution de contournement possible pour protéger les appareils contre les nouvelles failles. Pour protéger leurs données contre les cybercriminels, les clients doivent installer les mises à jour du micrologiciel suivantes : V5.21(AAZF.15)C0 pour NAS326, V5.21(ABAG.12)C0 pour NAS542.