A Zyxel está alertando os usuários de seus dispositivos NAS (Network Attached Storage) para atualizarem o firmware a fim de corrigir uma vulnerabilidade crítica de injeção de comando.
A vulnerabilidade recém-descoberta,
CVE-2023-27992
, é um problema de injeção de comando pré-autenticação que pode permitir que um invasor não autenticado execute comandos do sistema operacional ao enviar solicitações HTTP especialmente criadas.
A falha foi descoberta por Andrej Zaujec, NCSC-FI, e Maxim Suslov e recebeu uma pontuação CVSS v3 de 9,8, classificando-a como "crítica".
Os dispositivos afetados, versões de firmware e as versões corrigidas são:
- NAS326 – impacta V5.21(AAZF.13)C0 e versões anteriores, corrigida na V5.21(AAZF.14)C0
- NAS540 – impacta V5.21(AATB.10)C0 and earlier, fixed in V5.21(AATB.11)C0
- NAS542 – impacta V5.21(ABAG.10)C0 and earlier, fixed in V5.21(ABAG.11)C0
A Zyxel não forneceu soluções alternativas ou mitigação para
CVE-2023-27992
em seu último aviso, portanto, os usuários dos dispositivos NAS afetados são recomendados a aplicar as atualizações de segurança disponíveis o mais rápido possível.
O BleepingComputer também aconselha fortemente que todos os proprietários de NAS não exponham seus dispositivos à Internet e os tornem acessíveis apenas pela rede local ou por meio de uma VPN.
Simplesmente colocar o dispositivo NAS atrás de um firewall reduzirá significativamente sua exposição a novas vulnerabilidades, já que os agentes mal-intencionados não podem facilmente atacá-los.
Atualmente, a complexidade da solicitação HTTP maliciosa e outras condições para explorar as novas vulnerabilidades são desconhecidas.
No entanto, o fato de que a exploração não requer autenticação torna essa falha mais fácil de explorar.
Hackers estão sempre em busca de falhas críticas em dispositivos Zyxel que possam ser exploradas remotamente e são rápidos em adotar exploits de PoC (prova de conceito) publicamente disponíveis para atacar dispositivos que não foram corrigidos para uma versão de firmware segura.
Dispositivos NAS são um alvo particularmente atraente para operações de ransomware que exploram vulnerabilidades remotamente para criptografar arquivos e exigir resgate.
No passado, dispositivos NAS QNAP e Synology foram alvos de ransomware em ataques generalizados.
No mês passado, os usuários de firewalls e produtos de VPN da Zyxel foram alvos de ondas massivas de ataques de botnets baseados em Mirai e possivelmente foram alvo de agentes mal-intencionados mais seletivos e sofisticados.
Os invasores ativamente visaram as falhas
CVE-2023-28771
,
CVE-2023-33009
e
CVE-2023-33010
, afetando dispositivos ATP, USG FLEX, VPN e ZyWALL.
No início de junho, o fornecedor publicou um aviso de segurança contendo orientações sobre como proteger esses produtos contra os ataques que ocorriam há mais de um mês.
Dito isso, tomar medidas rápidas para proteger dispositivos NAS da Zyxel e seus dados valiosos é crucial, pois os ataques podem começar a qualquer momento agora.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...