Xakep #305. Многошаговые SQL-инъекции
Разработчики компании Zyxel выпустили внеплановое обновление, исправляющее критическую уязвимость в устройствах NAS. Проблема может приводить к выполнению произвольных команд в уязвимых системах.
Баг получил идентификатор CVE-2023-27992 (9,8 балла по шкале CVSS) и описывается как уязвимость внедрения команд перед аутентификацией. В компании говорят, что эта проблема позволяет неаутентифицированному злоумышленнику удаленно выполнять команды, отправляя для этого специально подготовленные HTTP-запросы.
Сообщается, что проблема затрагивает следующие устройства и прошивки:
- NAS326— влияет на прошивку V5.21(AAZF.13)C0 и более ранние версии, исправлено в версии V5.21(AAZF.14)C0;
- NAS540— влияет на прошивку V5.21(AATB.10)C0 и более ранние версии, исправлено в версии V5.21(AATB.11)C0;
- NAS542— влияет на прошивку V5.21(ABAG.10)C0 и более ранние версии, исправлено в версии V5.21(ABAG.11)C0.
Производитель не сообщает, существуют ли какие-то меры для смягчения уязвимости или обходные пути, позволяющие защититься, не устанавливая патч. Вместо этого пользователям уязвимых NAS просто рекомендуется как можно скорее установить доступные обновления безопасности.
Напомню, что совсем недавно другая уязвимость в брандмауэрах Zyxel активно использовалась Mirai-ботнетом, а еще две критические уязвимости в нескольких брандмауэрах и VPN компании (CVE-2023-33009 и CVE-2023-33010) были добавлены Агентством США по кибербезопасности и безопасности инфраструктуры (CISA) в каталог известных эксплуатируемых уязвимостей (KEV), то есть баги уже находились под атаками хакеров.
В связи с этим, теперь владельцам уязвимых NAS не рекомендуется делать их доступными из интернета, а использовать их только из локальной сети или через VPN.