Сегодня 27 февраля 2024
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Hardware

В NAS от Zyxel нашли ворох критических уязвимостей, позволяющих украсть данные пользователя

Тайваньский производитель сетевого оборудования, сетевых хранилищ NAS (Network Attached Storage) и много другого оборудования Zyxel сообщил клиентам об обнаружении ряда уязвимостей в двух моделях NAS. Всего обнаружены шесть опасных уязвимостей, через которые можно взломать сетевые хранилища. Производитель уже выпустил обновления прошивки с исправлениями безопасности.

 Источник изображения: eightsoftsolution.com

Источник изображения: eightsoftsolution.com

Некоторое время назад компания Zyxel обнародовала новую рекомендацию по безопасности, касающуюся уязвимостей, выявленных в устройствах NAS. Шесть дыр могут быть использованы злоумышленниками для обхода протоколов аутентификации и внедрения вредоносных команд в операционную систему (ОС) хранилища. Пользователям настоятельно рекомендуется установить уже доступные исправления безопасности для «надёжной защиты» своих данных.

Вновь обнаруженные уязвимости, включающие три критических проблемы с очень высокими оценками серьёзности, описаны в следующих отслеживаемых CVE-бюллетенях: CVE-2023-35137, CVE-2023-35138, CVE-2023-37927, CVE-2023-37928, CVE-2023-4473, CVE-2023-4474.

  • Первая уязвимость CVE-2023-35137 получила оценку серьёзности в 7,5 балла и связана с неправильной аутентификацией на серверах Zyxel NAS. Некорректная аутентификация может позволить злоумышленнику, не прошедшему проверку подлинности, получить системную информацию с помощью специально созданного URL.
  • Вторая проблема (CVE-2023-35138) — это критическая уязвимость с оценкой серьёзности в 9,8 в функции show_zysync_server_contents. Согласно разъяснениям специалистов Zyxel, данная уязвимость может дать хакеру возможность выполнить некоторые команды операционной системы, отправив по протоколу HTTP определённый POST-запрос.
  • Третья уязвимость (CVE-2023-37927) обладает степенью серьёзности в 8,8 балла. Она связана с неправильной нейтрализацией специальных элементов в программе CGI (Common Gateway Interface — «общий интерфейс шлюза»), благодаря чему злоумышленник может выполнить команды операционной системы, отправив поддельный URL.
  • Четвёртый недостаток (CVE-2023-37928) — это уязвимость с оценкой 8,8 бала, позволяющая инъекции команд после аутентификации в WSGI-сервере (Web Server Gateway Interface), которая опять-таки может открыть возможность выполнения команд ОС через вредоносный URL.
  • Пятый изъян (CVE-2023-4473) — критическая ошибка (9,8 балла) в веб-сервере Zyxel NAS, которая может быть использована аналогичным образом.
  • Наконец, шестой дефект (CVE-2023-4474) — это очередная критическая проблема (9,8 балла), возникшая из-за некорректной нейтрализации специальных элементов в сервере WSGI.

Компания Zyxel при этом отметила качественную работу трёх исследователей — Максима Суслова, Гарбора Сельяна (Gábor Selján) и Дрю Балфура (Drew Balfour) — по обнаружению проблем в системе безопасности. Zyxel провела «тщательное расследование» с целью выявить устройства, затронутые дефектами, в число которых входят модели сетевых хранилищ NAS326 и NAS542.

Тайваньский производитель пока не анонсировал никаких возможных мер по смягчению последствий или обходных путей для защиты NAS от новых дефектов. Чтобы обезопасить свои данные от киберпреступников, пользователям необходимо установить следующие обновления прошивок: V5.21 (AAZF.15)C0 для NAS326 и V5.21(ABAG.12)C0 для NAS542.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Вечерний 3DNews
Каждый будний вечер мы рассылаем сводку новостей без белиберды и рекламы. Две минуты на чтение — и вы в курсе главных событий.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Сегодняшний сбой в Рунете объяснили проверкой спецслужб и настройкой шлюзов Роскомнадзора 26 мин.
Покемоны следующего поколения: анонсирована Pokemon Legends: Z-A для «систем семейства Nintendo Switch» 30 мин.
Qualcomm представила AI Hub — «инструмент мечты» для создания ИИ-приложений, работающих локально 55 мин.
PlayStation объявила о массовых сокращениях — увольнение 900 сотрудников, закрытие внутренней студии Sony, отмена игр 2 ч.
Microsoft сформулировала «принципы доступа к ИИ» — компания обещает не монополизировать рынок 2 ч.
Домен сообщества Steam попал в реестр запрещённых сайтов, но почти тут же оттуда пропал — Роскомнадзор прокомментировал ситуацию 4 ч.
Создатели Until Dawn уволят почти треть сотрудников, несмотря на три игры в разработке — сокращения добрались до Supermassive Games 4 ч.
Антимонопольная служба ЕС изучит инвестиции Microsoft в стартап Mistral AI 5 ч.
В Минцифры сообщили, что работа Telegram восстанавливается 5 ч.
Свежий драйвер для графики Intel Arc увеличил производительность процессоров Core Ultra в DX11-играх 5 ч.