امنیت

فناوری اطلاعات

December 5, 2023
13:23 سه شنبه، 14ام آذرماه 1402
کد خبر: 153491

کشف چندین آسیب‌پذیری بحرانی در دستگاه‌های NAS

منبع: ماهر

سیستم‌های Zyxel NAS به منظور ذخیره‌سازی داده‌ها در یک مکان متمرکز در شبکه استفاده می‌شود. این سیستم‌ها که برای حجم بالای داده طراحی شده‌اند، عملکردهایی مانند پشتیبان‌گیری کارآمد از داده‌ها، پخش رسانه‌ای یکپارچه و گزینه‌های اشتراک‌گذاری قابل تنظیم را ارائه می‌کنند.

Zyxel چندین نقص امنیتی را مورد بررسی قرار داده است که سه مورد از آنها بسیار جدی است. این آسیب‌پذیری‌ها به طور بالقوه می‌توانند یک مهاجم غیرمجاز را قادر سازند تا دستورات سیستم‌عامل را بر روی دستگاه‌هایNAS (ذخیره‌سازی متصل به شبکه) آسیب‌پذیر، اجرا کند.
این آسیب‌پذیری‌ها به شرح زیر است:

آسیب‌پذیری با شناسه CVE-2023-35138 و شدت بحرانی (9.8): یک آسیب‌پذیری تزریق دستور (command injection) در دستگاه‌های Zyxel NAS است که در تابع «show_zysync_server_contents» وجود دارد و به مهاجمان تأیید نشده اجازه می‌دهد تا دستورات سیستم‌عامل دلخواه را با بهره‌برداری از یک درخواست HTTP POST جعلی، اجرا کنند.
آسیب‌پذیری با شناسه CVE-2023-35137 و شدت بالا (7.5): در این آسیب‌پذیری، دستگاه‌های Zyxel NAS تحت تأثیر یک نقص احراز هویت نامناسب در ماژول احراز هویت قرار دارند. این نقص به مهاجمان احراز هویت نشده این امکان را می‌دهد تا با بهره‌برداری از یک URL جعلی خاص، اطلاعات سیستم را به دست آورند.
آسیب‌پذیری با شناسه CVE-2023-37927 و شدت بالا (8.8): یک آسیب‌پذیری امنیتی در برنامه CGI دستگاه‌های Zyxel NAS، که به مهاجمان احراز هویت شده اجازه می‌دهد تا دستورات سیستم‌عامل دلخواه را با استفاده از یک URL ساختگی اجرا کنند.
آسیب‌پذیری با شناسه CVE-2023-37928 و شدت بالا (8.8): یک آسیب‌پذیری تزریق دستور (command injection) پس از احراز هویت در سرور WSGI دستگاه‌های Zyxel NAS است. مهاجمان احراز هویت شده می‌توانند با ایجاد یک URL مخرب از این نقص امنیتی بهره‌برداری کنند و آنها را قادر می‌سازد تا دستورات سیستم‌عامل دلخواه را اجرا کنند.
آسیب‌پذیری با شناسه CVE-2023-4473 و شدت بحرانی (9.8): یک نقص امنیتی مهم در وب سرور دستگاه‌های Zyxel NAS است که به مهاجمان تأیید نشده اجازه می‌دهد تا دستورات دلخواه را با بهره‌برداری از تزریق فرمان (command injection) از طریق یک URL جعلی اجرا کنند.
آسیب‌پذیری با شناسه CVE-2023-4474 و شدت بحرانی (9.8): یک آسیب‌پذیری در سرور WSGI دستگاه‌های Zyxel NAS است که به مهاجمان احراز هویت نشده اجازه می‌دهد تا دستورات سیستم‌عامل را با بهره‌برداری از یک URL ساختگی اجرا کنند.

طبق بررسی‌های انجام شده دستگاه‌های NAS326 از نسخه 5.21(AAZF.14)C0 و قبل‌تر و همچنین دستگاه‌های NAS542 با نسخه 5.21(ABAG.11)C0 و قبل‌تر تحت تأثیر آسیب‌پذیری‌های فوق قرار دارند.

 

 

  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.