Zyxel a résolu plusieurs problèmes de sécurité, dont trois critiques qui pourraient permettre à un attaquant non authentifié d'exécuter des commandes du système d'exploitation sur des périphériques de stockage en réseau (NAS) vulnérables.

Les systèmes NAS Zyxel sont utilisés pour stocker des données dans un emplacement centralisé sur le réseau. Ils sont conçus pour des volumes élevés de données et offrent des fonctionnalités telles que la sauvegarde des données, le streaming multimédia ou des options de partage personnalisées.

Les utilisateurs typiques de NAS Zyxel comprennent des petites et moyennes entreprises à la recherche d'une solution combinant des fonctionnalités de gestion des données, de travail à distance et de collaboration, ainsi que des professionnels de l'informatique mettant en place des systèmes de redondance des données, ou des vidéastes et artistes numériques travaillant avec des fichiers volumineux.

Dans un bulletin de sécurité aujourd'hui, le fournisseur met en garde contre les failles suivantes affectant les appareils NAS326 exécutant la version 5.21(AAZF.14)C0 et antérieure, et le NAS542 avec la version 5.21(ABAG.11)C0 et antérieure.

• CVE-2023-35137: Vulnérabilité d'authentification incorrecte dans le module d'authentification des appareils NAS Zyxel, permettant à des attaquants non authentifiés d'obtenir des informations système via une URL contrefaite. (score de gravité élevée de 7,5)
• CVE-2023-35138: Faille d'injection de commandes dans la fonction « show_zysync_server_contents » dans les appareils NAS Zyxel, permettant à des attaquants non authentifiés d'exécuter des commandes du système d'exploitation via une requête HTTP POST contrefaite. (score de gravité critique de 9,8)
• CVE-2023-37927: Vulnérabilité dans le programme CGI des appareils NAS Zyxel, permettant à des attaquants authentifiés d'exécuter des commandes du système d'exploitation avec une URL contrefaite. (score de gravité élevée de 8,8)
• CVE-2023-37928: Injection de commandes post-authentification dans le serveur WSGI des appareils NAS Zyxel, permettant aux attaquants authentifiés d'exécuter des commandes du système d'exploitation via une URL spécialement conçue. (score de gravité élevée de 8,8)
• CVE-2023-4473: Faille d'injection de commandes dans le serveur Web des appareils NAS Zyxel, permettant à des attaquants non authentifiés d'exécuter des commandes du système d'exploitation via une URL contrefaite. (score de gravité critique de 9,8)
• CVE-2023-4474: Vulnérabilité dans le serveur WSGI des appareils NAS Zyxel, permettant à des attaquants non authentifiés d'exécuter des commandes du système d'exploitation avec une URL contrefaite. (score de gravité critique de 9,8)

Les acteurs malveillants pourraient exploiter les vulnérabilités ci-dessus pour obtenir un accès non autorisé, exécuter certaines commandes du système d'exploitation, obtenir des informations système sensibles ou prendre le contrôle total des appareils NAS Zyxel concernés.

Pour faire face à ces risques, il est recommandé aux utilisateurs de NAS326 de passer à la version V5.21(AAZF.15)C0 ou ultérieure. Les utilisateurs du NAS542 doivent mettre à niveau leur micrologiciel vers la version V5.21(ABAG.12)C0 ou ultérieure, ce qui corrige les défauts ci-dessus.

Le fournisseur n'a fourni aucun conseil d'atténuation ni solution de contournement, une mise à jour du micrologiciel étant l'action recommandée.