Zyxel แก้ไขช่องโหว่ระดับ critical ที่หมายเลข CVE-2023-27992 ในอุปกรณ์ NAS

314/66 (IT) ประจำวันพฤหัสบดีที่ 22 มิถุนายน 2566

Zyxel ออกอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ด้านความปลอดภัยระดับ critical ที่หมายเลข CVE-2023-27992 (คะแนน CVSS: 9.8) ซึ่งส่งผลต่ออุปกรณ์จัดเก็บข้อมูลที่เชื่อมต่อกับเครือข่าย (NAS) ช่องโหว่ดังกล่าวเป็นปัญหาการ pre-authentication command injection ที่ส่งผลกระทบต่อเฟิร์มแวร์ Zyxel NAS326 เวอร์ชันก่อนหน้า V5.21(AAZF.14)C0, เฟิร์มแวร์ NAS540 เวอร์ชันก่อนหน้า V5.21(AATB.11)C0 และเฟิร์มแวร์ NAS542 เวอร์ชันก่อนหน้า V5.21(ABAG.11)C0 โดยผู้โจมตีจากระยะไกลที่ไม่ได้รับการตรวจสอบความถูกต้องสามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อดำเนินการคำสั่งระบบปฏิบัติการ (OS) บางคำสั่งโดยส่งคำขอ HTTP ที่สร้างขึ้นเป็นพิเศษ ช่องโหว่ดังกล่าวถูกรายงานโดย Andrej Zaujec, NCSC-FI และ Maxim Suslov

โดยเมื่อช่วงต้นเดือนมิถุนายน Zyxel ได้ออกเผยแพร่คำแนะนำสำหรับการป้องกันไฟร์วอลล์และอุปกรณ์ VPN จากการใช้ประโยชน์จากช่องโหว่หมายเลข CVE -2023-28771 , CVE-2023-33009 และ CVE-2023-33010 โดยที่ผู้โจมตีพยายามใช้ประโยชน์จากช่องโหว่ Command Inject ที่หมายเลข CVE-2023-28771 ที่ส่งผลกระทบต่อไฟร์วอลล์ของ Zyxel คือการใช้ประโยชน์จากช่องโหว่นี้ในการปรับใช้และติดตั้งมัลแวร์บนระบบ ซึ่ง CISA ของสหรัฐฯได้เพิ่มช่องโหว่ดังกล่าวลงใน Known Exploited Vulnerability ใน Catalog โดยอีกสองช่องโหว่หมายเลข CVE-2023-33009 และ CVE-2023-33010 เป็นช่องโหว่ระดับ critical ของ buffer overflow ซึ่งผู้โจมตีจากระยะไกลที่ไม่ผ่านการรับรองความถูกต้องสามารถใช้ประโยชน์จากช่องโหว่ด้วยการ denial-of-service (DoS) และการ remote code execution บนอุปกรณ์ที่มีช่องโหว่

แหล่งข่าว ( https://securityaffairs.com/147653/hacking/zyxel-cve-2023-27992-nas-devices.html )