Zyxel a déployé des mises à jour de sécurité pour corriger une faille de sécurité critique dans ses périphériques de stockage en réseau (NAS) qui pourrait entraîner l’exécution de commandes arbitraires sur les systèmes concernés.
Suivi comme CVE-2023-27992 (score CVSS : 9,8), le problème a été décrit comme une vulnérabilité d’injection de commande de pré-authentification.
« La vulnérabilité d’injection de commande de pré-authentification dans certains périphériques NAS Zyxel pourrait permettre à un attaquant non authentifié d’exécuter à distance certaines commandes du système d’exploitation (OS) en envoyant une requête HTTP spécialement conçue », Zyxel a dit dans un avis publié aujourd’hui.
Andrej Zaujec, NCSC-FI et Maxim Suslov ont été crédités d’avoir découvert et signalé la faille. Les versions suivantes sont impactées par CVE-2023-27992 –
- NAS326 (V5.21(AAZF.13)C0 et versions antérieures, corrigé dans V5.21(AAZF.14)C0),
- NAS540 (V5.21(AATB.10)C0 et versions antérieures, corrigé dans V5.21(AATB.11)C0) et
- NAS542 (V5.21(ABAG.10)C0 et versions antérieures, corrigé dans V5.21(ABAG.11)C0)
L’alerte intervient deux semaines après que l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté lundi deux failles dans les pare-feu Zyxel (CVE-2023-33009 et CVE-2023-33010) à son catalogue de vulnérabilités exploitées connues (KEV), sur la base de preuves. d’exploitation active.
Les appareils Zyxel devenant un aimant d’attaque pour les acteurs de la menace, il est impératif que les clients appliquent les correctifs dès que possible pour prévenir les risques potentiels.