A Zyxel lançou patches para corrigir 15 problemas de segurança que impactam dispositivos de armazenamento conectados à rede (NAS), firewall e pontos de acesso (AP), incluindo três falhas críticas que podem levar a uma violação de autenticação e injeção de comando.
As três vulnerabilidades estão listadas abaixo -
CVE-2023-35138
(pontuação CVSS: 9.8) - Uma vulnerabilidade de injeção de comando que poderia permitir a um invasor não autenticado executar alguns comandos do sistema operacional enviando uma solicitação HTTP POST manipulada.
CVE-2023-4473
(pontuação CVSS: 9.8) - Uma vulnerabilidade de injeção de comando no servidor web que poderia permitir a um invasor não autenticado executar alguns comandos do sistema operacional enviando uma URL manipulada para um dispositivo vulnerável.
CVE-2023-4474
(pontuação CVSS: 9.8) - Uma vulnerabilidade de neutralização inadequada de elementos especiais que poderia permitir a um invasor não autenticado executar alguns comandos do sistema operacional enviando uma URL manipulada para um dispositivo vulnerável.
A Zyxel também corrigiu três falhas de alta gravidade (
CVE-2023-35137
,
CVE-2023-37927
e
CVE-2023-37928
) que, se exploradas com sucesso, poderiam permitir aos invasores obter informações do sistema e executar comandos arbitrários.
Vale a pena notar que ambos
CVE-2023-37927
e
CVE-2023-37928
requerem autenticação.
As falhas impactam os seguintes modelos e versões -
NAS326 - versões V5.21(AAZF.14)C0 e anteriores (Corrigido na V5.21(AAZF.15)C0)
NAS542 - versões V5.21(ABAG.11)C0 e anteriores (Corrigido na V5.21(ABAG.12)C0)
O aviso chega dias depois que o fornecedor de redes taiwanês lançou correções para nove falhas em versões selecionadas de firewall e pontos de acesso (AP), algumas das quais podem ser armadas para acessar arquivos do sistema e registros de administradores, além de causar uma condição de negação de serviço (DoS).
Com os dispositivos Zyxel frequentemente explorados por atores de ameaças, é altamente recomendável que os usuários apliquem as últimas atualizações para mitigar possíveis ameaças.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...