Zyxel lança correções para consertar 15 falhas em dispositivos de armazenamento de rede (NAS), Firewall e ponto de acesso (AP)
1 de Dezembro de 2023

A Zyxel lançou patches para corrigir 15 problemas de segurança que impactam dispositivos de armazenamento conectados à rede (NAS), firewall e pontos de acesso (AP), incluindo três falhas críticas que podem levar a uma violação de autenticação e injeção de comando.

As três vulnerabilidades estão listadas abaixo -

CVE-2023-35138 (pontuação CVSS: 9.8) - Uma vulnerabilidade de injeção de comando que poderia permitir a um invasor não autenticado executar alguns comandos do sistema operacional enviando uma solicitação HTTP POST manipulada.

CVE-2023-4473 (pontuação CVSS: 9.8) - Uma vulnerabilidade de injeção de comando no servidor web que poderia permitir a um invasor não autenticado executar alguns comandos do sistema operacional enviando uma URL manipulada para um dispositivo vulnerável.

CVE-2023-4474 (pontuação CVSS: 9.8) - Uma vulnerabilidade de neutralização inadequada de elementos especiais que poderia permitir a um invasor não autenticado executar alguns comandos do sistema operacional enviando uma URL manipulada para um dispositivo vulnerável.

A Zyxel também corrigiu três falhas de alta gravidade ( CVE-2023-35137 , CVE-2023-37927 e CVE-2023-37928 ) que, se exploradas com sucesso, poderiam permitir aos invasores obter informações do sistema e executar comandos arbitrários.

Vale a pena notar que ambos CVE-2023-37927 e CVE-2023-37928 requerem autenticação.

As falhas impactam os seguintes modelos e versões -

NAS326 - versões V5.21(AAZF.14)C0 e anteriores (Corrigido na V5.21(AAZF.15)C0)
NAS542 - versões V5.21(ABAG.11)C0 e anteriores (Corrigido na V5.21(ABAG.12)C0)

O aviso chega dias depois que o fornecedor de redes taiwanês lançou correções para nove falhas em versões selecionadas de firewall e pontos de acesso (AP), algumas das quais podem ser armadas para acessar arquivos do sistema e registros de administradores, além de causar uma condição de negação de serviço (DoS).

Com os dispositivos Zyxel frequentemente explorados por atores de ameaças, é altamente recomendável que os usuários apliquem as últimas atualizações para mitigar possíveis ameaças.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...