兆勤科技針對 NAS 產品中的身份驗證繞過和命令注入安全漏洞公告
CVEs: CVE-2023-35137, CVE-2023-35138, CVE-2023-37927, CVE-2023-37928, CVE-2023-4473, CVE-2023-4474
摘要
Zyxel 已發布修補程式以解決 NAS 產品中的身份驗證繞過安全漏洞和命令注入安全漏洞。 建議用戶安裝最新修補程式以獲得最佳保護。
有哪些安全漏洞?
CVE-2023-35137
Zyxel NAS 設備中身份驗證模組中的不正確身份驗證安全漏洞可能允許未經身份驗證的攻擊者透過向易受攻擊的裝置發送經過設計的 URL 來獲取系統資訊。
CVE-2023-35138
Zyxel NAS 裝置中「show_zysync_server_contents」函數中的命令注入漏洞可能允許未經驗證的攻擊者透過傳送經過設計的 HTTP POST 請求來執行某些作業系統 (OS) 命令。
CVE-2023-37927
Zyxel NAS 裝置中 CGI 程式中特殊元素的不當中和可能允許經過驗證的攻擊者透過向易受攻擊的裝置發送設計過的 URL 來執行某些作業系統命令。
CVE-2023-37928
Zyxel NAS 裝置中 WSGI 伺服器中的驗證後命令注入漏洞可能允許經過驗證的攻擊者透過向易受攻擊的裝置發送設計過的 URL 來執行某些作業系統命令。
CVE-2023-4473
Zyxel NAS 裝置中的 Web 伺服器中的命令注入漏洞可能允許未經身份驗證的攻擊者透過向易受攻擊的裝置發送設計過的 URL 來執行某些作業系統命令。
CVE-2023-4474
Zyxel NAS 裝置中 WSGI 伺服器中特殊元素的不正確中和可能允許未經身份驗證的攻擊者透過向易受攻擊的裝置發送設計過的 URL 來執行某些作業系統命令。
哪些版本容易受到攻擊—您應該怎麼應對?
經過全面排查,我們確定了處於漏洞支援期內的易受攻擊產品,其韌體修補程式如下表所示。
| 受影響的型號 | 受影響的版本 | 最新修補程式 |
|---|---|---|
| NAS326 | V5.21(AAZF.14)C0 and earlier | V5.21(AAZF.15)C0 |
| NAS542 | V5.21(ABAG.11)C0 and earlier | V5.21(ABAG.12)C0 |
如何獲得協助?
如有任何問題,請聯繫Zyxel經銷商、Zyxel技術團隊(0800-500-550),或至官方Zyxel中文論壇,我們將會提供進一步協助與說明。
致謝
感謝以下安全研究人員和顧問:
- Maxim Suslov 的 CVE-2023-35137 和 CVE-2023-35138
- 來自 BugProve 的 Gábor Selján,針對 CVE-2023-37927、CVE-2023-37928、CVE-2023-4473 和 CVE-2023-4474
- 來自 X-Force Red 的 Drew Balfour(CVE-2023-4473)
修訂記錄
2023-11-30:初始版本。