کمپانی Zyxel در بولتن امنیتیش خبر از اصلاح شش آسیب پذیری در محصولات NAS اش داده که سه تاش بحرانی و سه تاش شدت بالا هستن.
سیستم های Zyxel NAS برای ذخیره داده ها در یه مکان متمرکز در شبکه استفاده میشن و برای حجم بالای داده طراحی شدن و ویژگیهایی مانند پشتیبانگیری از دادهها، پخش رسانه یا گزینههای اشتراکگذاری خاص رو فراهم میکنن. اغلب در شرکتهای کوچک تا متوسط بعنوان راه حلی برای مدیریت داده ها یا کار از راه دور ، مورد استفاده قرار میگیرن.
آسیب پذیری CVE-2023-35137 : آسیب پذیری از نوع Improper Authentication و در ماژول احرازهویت دستگاههای NAS هستش . مهاجم بدون احرازهویت شده با ارسال یه URL مخرب ، میتونه اطلاعات سیستم رو بدست بیاره. شدت این آسیب پذیری بالا و امتیاز 7.5 داره.
آسیب پذیری CVE-2023-35138 : آسیب پذیری از نوع Command Injection و در تابع show_zysync_server_contents دستگاههای NAS هستش . مهاجم احرازهویت نشده، امکان اجرای دستورات سیستم عامل رو از طریق ارسال درخواست HTTP POST داره. شدت بحرانی و امتیاز 9.8 داره.
آسیب پذیری CVE-2023-37927 : آسیب پذیری از نوع Improper Neutralization Of Special Elements و در CGI program دستگاههای NAS هستش. مهاجم احرازهویت شده با ارسال یه URL مخرب، امکان اجرای دستورات سیستم عاملی رو داره. شدت بالا و دارای امتیاز 8.8 هستش.
آسیب پذیری CVE-2023-37928 : آسیب پذیری از نوع Command Injection و در WSGI server دستگاههای NAS هستش . مهاجم احرازهویت شده با ارسال یه URL مخرب، امکان اجرای دستورات سیستم عاملی رو داره. شدت بالا و دارای امتیاز 8.8 هستش.
آسیب پذیری CVE-2023-4473 : آسیب پذیری از نوع command injection و در وب سرور دستگاههای NAS هستش . مهاجم بدون احرازهویت با ارسال یه URL مخرب، امکان اجرای دستورات سیستم عاملی رو داره. شدت بحرانی و امتیاز 9.8 داره.
آسیب پذیری CVE-2023-4474 : آسیب پذیری از نوع Improper Neutralization Of Special Elements و در WSGI server دستگاههای NAS هستش . مهاجم بدون احرازهویت ، با ارسال یه URL مخرب، امکان اجرای دستورات سیستم عاملی رو داره. شدت بحرانی و امتیاز 9.8 داره.
نسخه های تحت تاثیر و اصلاح شده:
برای این آسیب پذری ها راه حل یا اقدامات کاهشی معرفی نکردن و تنها راه حل ، بروزرسانی به نسخه های اصلاح شده هستش.
| مدل تحت تاثیر | نسخه ی تحت تاثیر | نسخه ی اصلاح شده |
|---|---|---|
| NAS326 | V5.21(AAZF.14)C0 and earlier | V5.21(AAZF.15)C0 |
| NAS542 | V5.21(ABAG.11)C0 and earlier | V5.21(ABAG.12)C0 |
[بروزرسانی]
اگه در شودان دنبال Zyxel NAS باشیم ، 12,553 مورد رو میتونیم مشاهده کنیم که البته این تعداد ، مقدار خام هستن.
در بین کشورها ، ده کشوری که بیشترین استفاده رو میکنن، در شکل زیر مشخص شده. ایران دو مورد در نتایج داشت که نسخه هاشون، تحت تاثیر نبودن.
صفحه ی لاگین یکی از نسخه های آسیب پذیر :
