Attention, utilisateurs de ZyXEL ! Les fournisseurs ont récemment publié des correctifs pour une grave vulnérabilité de sécurité affectant les produits NAS de Zyxel. L'exploitation de la vulnérabilité pourrait permettre d'exécuter des commandes arbitraires sur les appareils cibles. Les utilisateurs doivent se dépêcher de mettre à jour leurs appareils avec les versions de microprogrammes corrigées pour éviter les attaques potentielles.
Vulnérabilité d'injection de commande dans le système d'exploitation des NAS de Zyxel
Selon un récent avis du géant des technologies de réseau Zyxel Networks, leurs appareils NAS présentaient une faille de sécurité critique.
Zyxel propose une gamme de périphériques NAS (Network Attached Storage) aux utilisateurs personnels et professionnels pour stocker leurs données en toute sécurité. Ces appareils compatibles avec le cloud donnent aux utilisateurs les moyens de stocker et d'accéder à tout moment à leurs données depuis le NAS, sans craindre les violations de tiers. Il suffit d'une connexion WiFi pour transférer des photos, des vidéos et d'autres données personnelles ou professionnelles sur l'appareil NAS.
Bien que cela semble utile et moins risqué, toute faille affectant ces appareils rend directement les données des utilisateurs vulnérables.
Comme l'explique l'avis, le fournisseur a corrigé une vulnérabilité d'injection de commande de système d'exploitation affectant le micrologiciel de ses appareils NAS. Cette vulnérabilité pourrait permettre à un adversaire non authentifié d'exécuter des commandes de système d'exploitation à distance sur les appareils cibles en envoyant des requêtes HTTP malicieusement conçues.
La vulnérabilité affecte trois modèles de NAS Zyxel différents, qui comprennent les suivants.
- NAS326 – V5.21(AAZF.13)C0 et antérieures
- NAS540 – V5.21(AATB.10)C0 et antérieures
- NAS542 – V5.21(ABAG.10)C0 et antérieures
Après avoir détecté la faille, le fournisseur a rapidement travaillé sur la correction du bug, publiant le correctif avec les mises à jour suivantes.
- NAS326 – V5.21(AAZF.14)C0
- NAS540 – V5.21(AATB.11)C0
- NAS542 – V5.21(ABAG.11)C0
Cette vulnérabilité d'injection de commande du système d'exploitation avant l'authentification (CVE-2023-27992) a reçu une note de gravité critique avec un score CVSS de 9,8. Zyxel remercie Andrej Zaujec du Centre national de cybersécurité de Finlande (NCSC-FI), et Maxim Suslov pour avoir signalé cette faille.
Bien que le fournisseur n'ait pour l'instant rien mentionné au sujet de la détection de l'exploitation active de la vulnérabilité. Cependant, il invite les utilisateurs à mettre à jour leurs appareils respectifs avec les dernières mises à jour du micrologiciel afin de recevoir les corrections de bogues à temps.
Fais-nous part de tes réflexions dans les commentaires.
