Zyxel ออกแพตช์เพื่อแก้ไขช่องโหว่จำนวน 15 รายการในอุปกรณ์ NAS, firewall และ AP

518/66 (IT) ประจำวันจันทร์ที่ 4 ธันวาคม 2566

Zyxel ออกแพตช์เพื่อแก้ไขช่องโหว่จำนวน 15 รายการในที่ส่งผลกระทบต่อ network-attached storage (NAS), firewall, และ access point (AP) devices โดยมีช่องโหว่ระดับ critical จำนวน 3 รายการที่สามารถ authentication bypass และ command injection

ช่องโหว่จำนวน 3 รายการดังนี้

– CVE-2023-35138 (คะแนน CVSS: 9.8) เป็นช่องโหว่ command injection ที่อาจทำให้ผู้โจมตีที่ไม่ได้รับการรับรองความถูกต้องสามารถ execute ระบบปฏิบัติการบางคำสั่งโดยการ request HTTP POST ที่สร้างขึ้น

– CVE-2023-4473 (คะแนน CVSS: 9.8) เป็นช่องโหว่ command injection ใน web server ที่อาจทำให้ผู้โจมตีที่ไม่ได้รับการรับรองความถูกต้องสามารถ execute ระบบปฏิบัติการบางอย่างโดยการส่ง URL ที่สร้างขึ้นไปยังอุปกรณ์ที่มีช่องโหว่

– CVE-2023-4474 (คะแนน CVSS: 9.8) improper neutralization of special element เป็นช่องโหว่พิเศษที่อาจทำให้ผู้โจมตีที่ไม่ได้รับการรับรองความถูกต้องสามารถ execute ระบบปฏิบัติการบางอย่างโดยการส่ง URL ที่สร้างขึ้นไปยังอุปกรณ์ที่มีช่องโหว่

ช่องโหว่ได้ส่งผลกระทบต่อรุ่นและเวอร์ชันดังต่อไปนี้

– NAS326 – เวอร์ชัน V5.21(AAZF.14) C0 และเวอร์ชั่นที่เก่ากว่า แพทช์ใน V5.21(AAZF.15) C0

– NAS542 – เวอร์ชัน V5.21(ABAG.11) C0 และเวอร์ชั่นที่เก่ากว่า แพตช์ใน V5.21(ABAG.12) C0

เนื่องจากอุปกรณ์ Zyxel อาจถูกโจมตี จึงแนะนำอย่างยิ่งให้ผู้ใช้งานทำการอัปเดตล่าสุดเพื่อป้องกันภัยคุกคามที่อาจเกิดขึ้น

แหล่งข่าว https://thehackernews.com/2023/12/zyxel-releases-patches-to-fix-15-flaws.html