Zyxel ปล่อยการอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่สำคัญในอุปกรณ์จัดเก็บข้อมูล (NAS) อาจส่งผลให้เกิดการรับคำสั่งจากผู้ไม่ประสงค์ดีมาประมวลผลบนระบบ Zyxel NAS Device

   โดยช่องโหว่นี้มีหมายเลข CVE คือ CVE-2023-27992 (CVE score CVSS: 9.สามารถทำให้ผู้ไม่ประสงค์ดีสามารถส่งคำสั่ง (Command) ในลักษณะของ OS Command ไปยังระบบ Zyxel NAS Device ที่มีช่องโหว่ดังกล่าวและอุปกรณ์ Zyxel NAS Device จะรับคำสั่งนำไปประมวลผลโดยไม่ต้องทำการ Authentication ผ่านทาง HTTP request แต่อย่างใด (pre-authentication command injection vulnerability)

‍

Zyxel NAS Device รุ่นที่ได้รับผลกระทบ ได้แก่

   NAS326 (V5.21(AAZF.13)C0 and earlier, patched in V5.21(AAZF.14)C0)

   NAS540 (V5.21(AATB.10)C0 and earlier, patched in V5.21(AATB.11)C0)

   NAS542 (V5.21(ABAG.10)C0 and earlier, patched in V5.21(ABAG.11)C0)

คำแนะนำเพิ่มเติม

  ควรทำการ update patch/firmware Zyxel NAS Device เร็วที่สุดเท่าที่เป็นไปได้

  สำหรับอุปกรณ์ Zyxel devices มักจะเป็นจุดที่เหล่าผู้ไม่ประสงค์ดีมุ่งเป้าหมายอยู่แล้ว ดังนั้นผู้ที่ใช้งานอุปกรณ์ Zyxel ควรหมั่น update patch/firmware ไม่ว่าจะเป็น Zyxel NAS Device หรืออุปกรณ์อื่นๆของ zyxel ให้เป็น version ล่าสุดอย่างสม่ำเสมอ

.

อ้างอิง

   https://thehackernews.com/.../zyxel-releases-urgent...

‍