Zyxel lança correções para consertar 15 falhas em dispositivos de armazenamento de rede (NAS), Firewall e ponto de acesso (AP)
1 de Dezembro de 2023

A Zyxel lançou patches para corrigir 15 problemas de segurança que impactam dispositivos de armazenamento conectados à rede (NAS), firewall e pontos de acesso (AP), incluindo três falhas críticas que podem levar a uma violação de autenticação e injeção de comando.

As três vulnerabilidades estão listadas abaixo -

CVE-2023-35138 (pontuação CVSS: 9.8) - Uma vulnerabilidade de injeção de comando que poderia permitir a um invasor não autenticado executar alguns comandos do sistema operacional enviando uma solicitação HTTP POST manipulada.

CVE-2023-4473 (pontuação CVSS: 9.8) - Uma vulnerabilidade de injeção de comando no servidor web que poderia permitir a um invasor não autenticado executar alguns comandos do sistema operacional enviando uma URL manipulada para um dispositivo vulnerável.

CVE-2023-4474 (pontuação CVSS: 9.8) - Uma vulnerabilidade de neutralização inadequada de elementos especiais que poderia permitir a um invasor não autenticado executar alguns comandos do sistema operacional enviando uma URL manipulada para um dispositivo vulnerável.

A Zyxel também corrigiu três falhas de alta gravidade ( CVE-2023-35137 , CVE-2023-37927 e CVE-2023-37928 ) que, se exploradas com sucesso, poderiam permitir aos invasores obter informações do sistema e executar comandos arbitrários.

Vale a pena notar que ambos CVE-2023-37927 e CVE-2023-37928 requerem autenticação.

As falhas impactam os seguintes modelos e versões -

NAS326 - versões V5.21(AAZF.14)C0 e anteriores (Corrigido na V5.21(AAZF.15)C0)
NAS542 - versões V5.21(ABAG.11)C0 e anteriores (Corrigido na V5.21(ABAG.12)C0)

O aviso chega dias depois que o fornecedor de redes taiwanês lançou correções para nove falhas em versões selecionadas de firewall e pontos de acesso (AP), algumas das quais podem ser armadas para acessar arquivos do sistema e registros de administradores, além de causar uma condição de negação de serviço (DoS).

Com os dispositivos Zyxel frequentemente explorados por atores de ameaças, é altamente recomendável que os usuários apliquem as últimas atualizações para mitigar possíveis ameaças.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...