Zyxel-ը ներկայացրել է անվտանգության թարմացումներ՝ իր ցանցին կցված (NAS) սարքերում անվտանգության կրիտիկական խոցելիությունները շտկելու համար: Առկա խոցելիությունները կրիտիկական են և կարող են համակարգում հանգեցնել կամայական հրամանների կատարման:
Այն որակվել է որպես՝ CVE-2023-27992 (CVSS միավորը՝ 9.8), իսկ խնդիրը նկարագրվել է որպես pre-authentication հրամանի injection խոցելիություն:
«Zyxel NAS-ի որոշ սարքերում նախնական վավերացման pre-authentication խոցելիությունը կարող է թույլ տալ հաքերին remote access-ով որոշ հրամաններ կատարել և HTTP մշակված հարցում իրականացնել», – ասվում է Zyxel-ի այսօր հրապարակված զեկույցում:
Խոցելիության բացահայտման փաստը վերագրվել է՝ Անդրեյ Զաուեցին, NCSC-FI-ին և Մաքսիմ Սուսլովին:
Հետևյալ տարբերակները ենթարկված են CVE-2023-27992-ի ազդեցությանը՝
- NAS326 (V5.21(AAZF.13) C0 թարմացումը՝ V5.21(AAZF.14) C0-ում)
- NAS540 (V5.21(AATB.10)C0 թարմացումը՝ V5.21(AATB.11)C0-ում)
- NAS542 (V5.21(ABAG.10)C0 թարմացումը՝ V5.21(ABAG.11)C0-ում )
Խնդրի մասին ահազանգը տրվեց այն ժամանակ, երբ ԱՄՆ Կիբերանվտանգության և ենթակառուցվածքների անվտանգության գործակալությունն իր հայտնի շահագործվող խոցելիությունների (KEV) կատալոգում ավելացրեց երկու կրիտիկական խոցելիություն՝ (CVE-2023-33009-նն ու CVE-2023-33010-ը):
Քանի որ Zyxel սարքերը հարձակման հարմար թիրախ են հաքերների համար, ուստի խիստ անհրաժեշտ է, որ հաճախորդները հնարավորինս շուտ կիրառեն համապատասխան թարմացումները՝ հնարավոր ռիսկերը կանխելու համար:
Աղբյուրը՝ https://thehackernews.com/