Zyxel复原了NAS设备中的严重漏洞

近日, Zyxel发布了对CVE-2023-27992(CVSS评分:9.8)的安全更新，这个严重的安全漏洞影响到了其网络附加存储(NAS)设备。

该漏洞存在预认证命令注入问题，影响了V5.21(AAZF.14)C0之前的多个固件版本，其中包括Zyxel NAS326固件版本、V5.21(AATB.11)C0之前的NAS540固件版本、以及V5.21(ABAG.11)C0之前的NAS542固件版本。未经用户身份验证的远程攻击者可以通过自动地发送特制的HTTP请求文件来自动地利用该漏洞执行某些来自操作系统防火墙的命令。

威胁行为者正在积极尝试利用命令注入漏洞CVE-2023-28771攻击Zyxel的防火墙。他们的目标是利用这个漏洞在受影响的系统上部署和安装恶意软件。目前美国CISA已将该漏洞添加到其已知利用漏洞目录中。

另外还追踪到两个漏洞，CVE-2023-33009和CVE-2023-33010是关键的缓冲区溢出漏洞。远程的、未经身份验证的攻击者可以触发这些缺陷，导致拒绝服务(DoS)条件，并在易受攻击的设备上远程执行代码。

Zyxel表示，一旦受到攻击，设备的Web GUI或SSH管理界面将无法访问。该公司还指出，如果用户未能及时修复漏洞，那么他们的计算机可能会遭受永久性的安全威胁。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!