Сегодня 25 апреля 2024
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Hardware

В NAS от Zyxel нашли ворох критических уязвимостей, позволяющих украсть данные пользователя

Тайваньский производитель сетевого оборудования, сетевых хранилищ NAS (Network Attached Storage) и много другого оборудования Zyxel сообщил клиентам об обнаружении ряда уязвимостей в двух моделях NAS. Всего обнаружены шесть опасных уязвимостей, через которые можно взломать сетевые хранилища. Производитель уже выпустил обновления прошивки с исправлениями безопасности.

 Источник изображения: eightsoftsolution.com

Источник изображения: eightsoftsolution.com

Некоторое время назад компания Zyxel обнародовала новую рекомендацию по безопасности, касающуюся уязвимостей, выявленных в устройствах NAS. Шесть дыр могут быть использованы злоумышленниками для обхода протоколов аутентификации и внедрения вредоносных команд в операционную систему (ОС) хранилища. Пользователям настоятельно рекомендуется установить уже доступные исправления безопасности для «надёжной защиты» своих данных.

Вновь обнаруженные уязвимости, включающие три критических проблемы с очень высокими оценками серьёзности, описаны в следующих отслеживаемых CVE-бюллетенях: CVE-2023-35137, CVE-2023-35138, CVE-2023-37927, CVE-2023-37928, CVE-2023-4473, CVE-2023-4474.

  • Первая уязвимость CVE-2023-35137 получила оценку серьёзности в 7,5 балла и связана с неправильной аутентификацией на серверах Zyxel NAS. Некорректная аутентификация может позволить злоумышленнику, не прошедшему проверку подлинности, получить системную информацию с помощью специально созданного URL.
  • Вторая проблема (CVE-2023-35138) — это критическая уязвимость с оценкой серьёзности в 9,8 в функции show_zysync_server_contents. Согласно разъяснениям специалистов Zyxel, данная уязвимость может дать хакеру возможность выполнить некоторые команды операционной системы, отправив по протоколу HTTP определённый POST-запрос.
  • Третья уязвимость (CVE-2023-37927) обладает степенью серьёзности в 8,8 балла. Она связана с неправильной нейтрализацией специальных элементов в программе CGI (Common Gateway Interface — «общий интерфейс шлюза»), благодаря чему злоумышленник может выполнить команды операционной системы, отправив поддельный URL.
  • Четвёртый недостаток (CVE-2023-37928) — это уязвимость с оценкой 8,8 бала, позволяющая инъекции команд после аутентификации в WSGI-сервере (Web Server Gateway Interface), которая опять-таки может открыть возможность выполнения команд ОС через вредоносный URL.
  • Пятый изъян (CVE-2023-4473) — критическая ошибка (9,8 балла) в веб-сервере Zyxel NAS, которая может быть использована аналогичным образом.
  • Наконец, шестой дефект (CVE-2023-4474) — это очередная критическая проблема (9,8 балла), возникшая из-за некорректной нейтрализации специальных элементов в сервере WSGI.

Компания Zyxel при этом отметила качественную работу трёх исследователей — Максима Суслова, Гарбора Сельяна (Gábor Selján) и Дрю Балфура (Drew Balfour) — по обнаружению проблем в системе безопасности. Zyxel провела «тщательное расследование» с целью выявить устройства, затронутые дефектами, в число которых входят модели сетевых хранилищ NAS326 и NAS542.

Тайваньский производитель пока не анонсировал никаких возможных мер по смягчению последствий или обходных путей для защиты NAS от новых дефектов. Чтобы обезопасить свои данные от киберпреступников, пользователям необходимо установить следующие обновления прошивок: V5.21 (AAZF.15)C0 для NAS326 и V5.21(ABAG.12)C0 для NAS542.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Вечерний 3DNews
Каждый будний вечер мы рассылаем сводку новостей без белиберды и рекламы. Две минуты на чтение — и вы в курсе главных событий.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Еврокомиссия вынудила TikTok приостановить программу вознаграждения за просмотр видео в Lite-версии приложения 3 ч.
«Будьте уверены — мы никуда не денемся», — TikTok прокомментировал закон о своём запрете в США 7 ч.
Apple представила малые языковые модели OpenELM, которые работают локально на смартфонах и ноутбуках 7 ч.
NVIDIA приобрела за $700 млн платформу оркестрации ИИ-нагрузок Run:ai 7 ч.
Британские антимонопольщики заинтересовались инвестициями Microsoft и Amazon в ИИ-стартапы 8 ч.
NetEase раскрыла, когда начнётся закрытая «альфа» командного шутера Marvel Rivals в духе Overwatch 9 ч.
Не помешал бы Dark Souls: ведущий разработчик No Rest for the Wicked встал на защиту раннего доступа 9 ч.
Байден подписал закон о запрете TikTok в США, если ByteDance его не продаст 10 ч.
Вышла новая версия системы резервного копирования «Кибер Бэкап Облачный» с расширенной поддержкой Linux-платформ 12 ч.
Минюст США порекомендовал посадить основателя Binance Чанпэна Чжао в тюрьму на три года 12 ч.
Сотрудники американского предприятия TSMC столкнулись с тяжёлыми условиями работы 2 ч.
Qualcomm заподозрили в подделке тестов Snapdragon X Elite и X Plus — на самом деле они сильно медленнее 6 ч.
Космический мусор вызвал перебои с электричеством на китайской орбитальной станции 7 ч.
Advent Diamond разработала техпроцессы для выпуска алмазных чипов, которым не страшен перегрев 7 ч.
Представлен смартфон Oppo K12 — он практически полностью повторяет OnePlus Nord CE4 9 ч.
Китайские телеком-гиганты потратят миллиарды долларов на оптовые закупки ИИ-серверов 10 ч.
Акции Tesla резко выросли после заявления Маска о планах выпуска доступных электромобилей 10 ч.
Snapdragon X Plus и Elite снова победили конкурентов Apple, AMD и Intel в предварительных тестах 11 ч.
Тим Кук намекнул на скорый выход нового Apple Pencil 3 12 ч.
Qualcomm официально представила чипы Snapdragon X Elite и Plus для Windows-ноутбуков 12 ч.