Le fabricant d’équipements réseau Zyxel a publié des correctifs pour une faille de sécurité critique affectant ses périphériques de stockage en réseau (NAS).
Suivi comme CVE-2022-34747 (score CVSS : 9,8), le problème concerne une « vulnérabilité de chaîne de format » affectant les modèles NAS326, NAS540 et NAS542. Zyxel a crédité le chercheur Shaposhnikov Ilya pour avoir signalé la faille.
« Une vulnérabilité de chaîne de format a été trouvée dans un binaire spécifique des produits Zyxel NAS qui pourrait permettre à un attaquant d’exécuter du code à distance non autorisé via un paquet UDP spécialement conçu », a déclaré la société. a dit dans un avis publié le 6 septembre.
La faille affecte les versions suivantes –
- NAS326 (V5.21(AAZF.11)C0 et versions antérieures)
- NAS540 (V5.21(AATB.8)C0 et versions antérieures) et
- NAS542 (V5.21(ABAG.8)C0 et versions antérieures)
La divulgation intervient alors que Zyxel a précédemment abordé l’escalade des privilèges locaux et les vulnérabilités de traversée de répertoire authentifiées (CVE-2022-30526 et CVE-2022-2030) affectant ses produits de pare-feu en juillet.
Le piratage des appareils NAS devient une pratique courante. Si vous ne prenez pas de précautions ou ne maintenez pas le logiciel à jour, les attaquants peuvent voler vos données sensibles et personnelles. Dans certains cas, ils parviennent même à supprimer définitivement des données.
En juin 2022, il a également corrigé une faille de sécurité (CVE-2022-0823) qui laissait les commutateurs de la série GS1200 vulnérables aux attaques par devinette de mot de passe via une attaque par canal latéral de synchronisation.