合勤科技修复NAS 设备中的高危漏洞

发布于 作者:

合勤科技修复NAS 设备中的高危漏洞

Helga Labus 代码卫士 2023-06-02 17:37

聚焦源代码安全,网罗国内外最新资讯!****

编译:代码卫士

合勤科技 (Zyxel) 修复了家庭用户所使用的 NAS 设备中的一个高危认证命令注入漏洞 (CVE-2023-27988)。

漏洞简述

该漏洞位于设备的 web 管理接口中。

合勤科技证实称,“具有管理员权限的认证攻击者可利用该漏洞,远程在受影响设备上执行某些操作系统命令。”如下设备受影响:

  • NAS326 版本5.2.1 (AAZF.12) C0及以下版本

  • NAS540版本5.21 (AAZF.9) C0及以下版本

  • NAS542版本5.21 (AAZF.9) C0及以下版本

该漏洞由 Sternum 公司的研究员报告,研究员发布了关于该漏洞的根因分析并说明了如何使目标设备做出非预期内行为。

研究人员解释称,“这些测试已经证实,认证攻击者可通过设备上的根权限执行任意系统命令。最终,这些漏洞可用于执行更加恶意的操作如远程恶意软件注入。”

迅速修复

合勤科技在本周二发布固件更新,用户应尽快执行这些更新。该公司并未提到可能的应变措施。虽然目前并不存在漏洞遭利用的证据,但 NAS 设备一般是受网络犯罪分子喜欢的目标,之前 QNAP NAS 设备多次遭勒索攻击。

代码卫士试用地址:
https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读


奇安信入选全球《软件成分分析全景图》代表厂商

合勤科技防火墙和VPN设备中存在多个严重漏洞

刚刚,合勤科技发布NAS新固件,修复严重的RCE漏洞

合勤科技修复四个高危漏洞,影响AP、API控制器和防火墙设备

合勤科技称企业防火墙和VPN设备遭复杂攻击

10万+合勤科技防火墙和 VPN 网关被曝秘密后门

原文链接

Zyxel patches vulnerability in NAS devices (CVE-2023-27988)

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

觉得不错,就点个 “
在看
” 或 “

” 吧~