Zyxel แจ้งเตือนช่องโหว่ระดับ critical หลายรายการใน NAS devices

Zyxel ออกมาแจ้งเตือน และแก้ไขช่องโหว่ระดับ critical ใน NAS devices 3 รายการ ซึ่งทำให้ Hacker ที่ไม่ต้องผ่านการตรวจสอบสิทธิ์ สามารถเรียกใช้คำสั่งบนระบบปฏิบัติการบนอุปกรณ์จัดเก็บข้อมูลบนเครือข่าย (NAS) ที่มีช่องโหว่ได้

Zyxel NAS ใช้สำหรับจัดเก็บข้อมูลแบบรวมศูนย์บนเครือข่าย เพื่อรองรับข้อมูลปริมาณมาก รวมถึงฟีเจอร์ต่าง ๆ เช่น การสำรองข้อมูล การสตรีมสื่อ หรือ sharing options แบบ custom

โดยผู้ใช้งาน Zyxel NAS ประกอบไปด้วยธุรกิจขนาดเล็กถึงขนาดกลาง ที่ต้องการโซลูชันที่รวมการจัดการข้อมูล การทำงานจากระยะไกล และการทำงานร่วมกัน ในลักษณะ IT professionals ที่ต้องการระบบสำรองข้อมูลแบบ data redundancy หรือช่างถ่ายวิดีโอ และศิลปินดิจิทัลที่ทำงานร่วมกับไฟล์ขนาดใหญ่

โดยทาง Zyxel ได้ออกแจ้งเตือนช่องโหว่ดังกล่าวที่ส่งผลกระทบต่ออุปกรณ์ NAS326 ที่ใช้เวอร์ชัน 5.21(AAZF.14)C0 และเก่ากว่า และ NAS542 ที่มีเวอร์ชัน 5.21(ABAG.11)C0 และเก่ากว่า ดังนี้

  • CVE-2023-35137 (คะแนน CVSS 7.5/10 ความรุนแรงระดับ high) ช่องโหว่การตรวจสอบสิทธิ์ที่ไม่เหมาะสมในโมดูลการตรวจสอบสิทธิ์ของอุปกรณ์ Zyxel NAS ทำให้ Hacker ที่ไม่ต้องผ่านการตรวจสอบสิทธิ์ สามารถรับข้อมูลระบบผ่าน URL ที่สร้างขึ้น
  • CVE-2023-35138 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ critical) ช่องโหว่การแทรกคำสั่งในฟังก์ชัน "show_zysync_server_contents" ในอุปกรณ์ Zyxel NAS ทำให้ Hacker ที่ไม่ต้องผ่านการตรวจสอบสิทธิ์ สามารถรันคำสั่งบน OS ผ่าน HTTP POST request ที่สร้างขึ้น
  • CVE-2023-37927 (คะแนน CVSS 8.8/10 ความรุนแรงระดับ high) ช่องโหว่ในโปรแกรม CGI ของอุปกรณ์ Zyxel NAS ทำให้ Hacker ที่ต้องผ่านการตรวจสอบสิทธิ์สามารถรันคำสั่ง OS ด้วย URL ที่สร้างขึ้นได้
  • CVE-2023-37928 (คะแนน CVSS 9.8/10ความรุนแรงระดับ critical) ช่องโหว่การแทรกคำสั่งหลังการตรวจสอบสิทธิ์ในเซิร์ฟเวอร์ WSGI ของอุปกรณ์ Zyxel NAS ทำให้ Hacker ที่ผ่านการตรวจสอบสิทธิ์สามารถรันคำสั่ง OS ผ่าน URL ที่สร้างขึ้น
  • CVE-2023-4473 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ critical) ช่องโหว่การแทรกคำสั่งในเว็บเซิร์ฟเวอร์ของอุปกรณ์ Zyxel NAS ทำให้ Hacker ที่ไม่ต้องผ่านการตรวจสอบสิทธิ์สามารถรันคำสั่ง OS ผ่าน URL ที่สร้างขึ้นได้
  • CVE-2023-4474 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ critical) ช่องโหว่ในเซิร์ฟเวอร์ WSGI ของอุปกรณ์ Zyxel NAS ให้ Hacker ที่ไม่ต้องผ่านการตรวจสอบสิทธิ์สามารถรันคำสั่ง OS ด้วย URL ที่สร้างขึ้นได้

ทั้งนี้ Hacker จะใช้ช่องโหว่เหล่านี้ในการโจมตีเพื่อเข้าถึงระบบโดยไม่ได้รับอนุญาต หลังจากนั้นก็สามารถดำเนินการคำสั่งบนระบบปฏิบัติการของเป้าหมาย และขโมยข้อมูลระบบที่มีความสำคัญบนอุปกรณ์ Zyxel NAS ที่ถูกโจมตี

โดยปัจจุบัน Zyxel ได้แจ้งเตือนไปยังผู้ดูแลระบบให้เร่งอัปเดตแพตซ์เพื่อป้องกันการโจมตีจากช่องโหว่ดังกล่าวโดยด่วน ดังนี้ :

  • NAS326 แนะนำให้อัปเดตเป็นเวอร์ชัน V5.21(AAZF.15)C0 หรือใหม่กว่า
  • NAS54 แนะนำให้อัปเดตเป็นเวอร์ชัน V5.21(ABAG.12)C0 หรือใหม่กว่า

ที่มา : bleepingcomputer