freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Zyxel修复了NAS设备中的严重漏洞!
2023-06-21 10:47:55
所属地 上海

1687315997_6492661dd6b3ea6617fea.png!small

近日,Zyxel针对CVE-2023-27992 (CVSS评分:9.8)发布了安全更新,这个严重的安全漏洞影响到了其网络附加存储(NAS)设备。

该漏洞存在预认证命令注入问题,影响了V5.21(AAZF.14)C0之前的多个固件版本,其中包括Zyxel NAS326固件版本、V5.21(AATB.11)C0之前的NAS540固件版本、以及V5.21(ABAG.11)C0之前的NAS542固件版本。未经身份验证的远程攻击者可以通过发送特制的HTTP请求来利用该漏洞执行某些操作系统命令。

Zyxel发布了补丁,解决了NAS版本中的预认证命令注入漏洞。

Zyxel在发布建议中提到,某些Zyxel NAS设备中的预认证命令注入漏洞可以允许未经认证的攻击者通过发送精心制作的HTTP请求远程执行某些操作系统(OS)命令。

该漏洞由Andrej Zaujec、NCSC-FI和Maxim Suslov报告。

6月初,Zyxel发布了保护防火墙和VPN设备免受持续攻击和利用CVE-2023-28771、CVE-2023-33009和CVE-2023-33010漏洞的指南。

威胁行为者正在积极尝试利用命令注入漏洞CVE-2023-28771攻击Zyxel的防火墙。他们的目标是利用这个漏洞在受影响的系统上部署和安装恶意软件。目前美国CISA已将该漏洞添加到其已知利用漏洞目录中。

4月下旬,Zyxel解决了其防火墙设备中的严重漏洞CVE-2023-28771 (CVSS评分9.8)。Zyxel方面建议客户立即安装补丁,以降低漏洞可能带来的潜在风险。

目前该漏洞正在被积极利用,被用以在类似mirai的僵尸网络中招募易受攻击的设备。

另外还追踪到两个漏洞,CVE-2023-33009和CVE-2023-33010是关键的缓冲区溢出漏洞。远程的、未经身份验证的攻击者可以触发这些缺陷,导致拒绝服务(DoS)条件,并在易受攻击的设备上远程执行代码。

Zyxel表示,一旦受到攻击,设备得Web GUI或SSH管理界面将无法访问。

参考来源:Zyxel addressed critical flaw CVE-2023-27992 in NAS DevicesSecurity Affairs

# 漏洞 # 安全漏洞 # 漏洞利用
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者