Zyxel 警告专有 NAS 设备存在严重漏洞

数据丢失和任意代码执行都是可能的 – 您需要立即更新您的硬件。

Zyxel在其网络附加存储 ( NAS )设备中发现了多个严重漏洞，其中包括三个关键漏洞，这些漏洞可能允许未经身份验证的攻击者在受影响的设备上执行任意命令 。

合勤科技的 NAS 系统用于网络上的集中数据存储，旨在处理大量信息。它们提供备份、媒体流和共享选项定制等功能。

典型的合勤科技 NAS 用户包括寻求数据管理、远程和协作解决方案的中小型企业。除了企业领域之外，一些处理大文件的 IT 专业人士、摄像师和数字艺术家也需要 NAS。

在 11 月 30 日发布的安全公告 中，制造商警告以下漏洞影响固件版本 5.21(AAZF.14)C0 及更早版本的 NAS326 设备以及固件版本 5.21(ABAG.11)C0 及更早版本的 NAS542 设备：

• CVE-2023-35137 ： Zyxel NAS 设备身份验证模块中的漏洞允许未经身份验证的攻击者通过特制 URL 获取系统信息（CVSS评分7.5）；
• CVE-2023-35138 ：Zyxel NAS 设备的“show_zysync_server_contents”函数中的命令注入漏洞允许未经身份验证的攻击者通过特制的 HTTP POST 请求执行操作系统命令（CVSS 评分 9.8）；
• CVE-2023-37927 ：Zyxel NAS 设备的 CGI 程序中存在漏洞，允许经过身份验证的攻击者通过特制 URL 执行操作系统命令（CVSS 评分 8.8）；
• CVE-2023-37928 ：Zyxel NAS 设备的 WSGI 服务器中的身份验证后命令注入漏洞允许经过身份验证的攻击者通过特制 URL 执行操作系统命令（CVSS 评分 8.8）；
• CVE-2023-4473 ：Zyxel NAS 设备的 Web 服务器中存在命令注入漏洞，允许未经身份验证的攻击者通过特制 URL 执行操作系统命令（CVSS 评分 9.8）；
• CVE-2023-4474 ：Zyxel NAS 设备的 WSGI 服务器中存在漏洞，允许未经身份验证的攻击者通过特制 URL 执行操作系统命令（CVSS 评分 9.8）。

攻击者可以利用上述漏洞获得未经授权的访问、执行操作系统命令、获取敏感系统信息或完全控制受影响的 Zyxel NAS 设备。

为了解决这些风险，建议NAS326用户升级到V5.21(AAZF.15)C0或更高版本。NAS542用户应将固件更新至V5.21(ABAG.12)C0或更高版本以解决上述安全漏洞。

制造商尚未提供缓解或解决方法建议，建议将固件更新作为主要保护措施。