IoT siber güvenlik şirketi Sternum, Zyxel Networks’ün donanım yazılımı sürüm 5.21 üzerinde çalışan NAS326, NAS540 ve NAS542 modelleri dahil olmak üzere Linux ile çalışan NAS sürücülerini etkileyen bir güvenlik açığı belirledi.
Zyxel Networks’ün tavsiye belgesinde, üretici yazılımı 5.21 ve önceki sürümlere atıfta bulunularak, “Bazı NAS sürümlerinin web yönetimi arabiriminde kimlik doğrulama sonrası komut enjeksiyonu güvenlik açığı bulundu” yazıyor.
Kullanıcılardan, cihazlarını korumak için NAS sürücülerini 5.21 olarak da tanımlanan en son sabit yazılımla yamalamaları isteniyor.
Zyxel Networks NAS sahipleri yama uygulamaya çağırdı
Özellikle, NAS326 sahiplerine 5.21 (AAZF.12)C0’dan (AAZF.13)C0’a, NAS540’ı (AATB.9)C0’dan (AATB.10)C0’a ve NAS542’yi (ABAG.9)C0’dan güncellemeleri söylenmektedir. (ABAG.10)C0’a kadar. Güncellemeler Zyxel’den edinilebilir İnternet sitesi.
Sternum’dan Noam Zhitomirsky, Reuven Yakar, Dean Zavadski ve Amit Serper, 30 Mayıs 2023’te CVE-2023-27988 olarak işaretlenen güvenlik açığını NAS üreticisine bildiren kişilerdir.
Bir basın açıklamasında Sternum şunları söyledi: “Sternum güvenlik araştırmacıları, şirketin standart laboratuvar dağıtım sürecinin bir parçası olarak Zyxel NAS birimlerinden birini tarama sürecindeyken, güvenlik mantıklarından biri tarafından bir “Tehlikeli Dizi Biçimi” uyarısı tetiklendi. Sternum güvenlik platformu.”
Sorunun, kimliği doğrulanmış bir kullanıcının sistemde kök ayrıcalıklarıyla rastgele bir sistem komutu yürütmesine izin veren bir güvenlik açığı bırakan ntpdate_date işlemiyle ilgili olduğu tespit edildi.
Sternum, bunun bilgisayar korsanlarının uzak kötü amaçlı yazılımları şüphelenmeyen NAS sürücü sahiplerinin cihazlarına enjekte etmesine izin verebileceğini vurguladı.
Zyxel’in hızlı bir şekilde yayınladığı yama sorunu çözecek olsa da, Sternum’un araştırmacıları, diğer şirketlerin disklerinin benzer sorunlara karşı savunmasız olabileceğine inanıyor ve müşterileri ve tüketicileri her zaman şirket duyurularını takip etmeye ve yamalar çıkar çıkmaz uygulamaya davet ediyor.
- Depolama alanınızı tamamen şirket dışına mı çıkarmak istiyorsunuz? Kontrol et en iyi bulut depolama sağlayıcılar