Sicherheitsupdates: Angreifer können Zyxel-NAS mit präparierten URLs attackieren
Zwei NAS-Modelle von Zyxel sind verwundbar. In aktuellen Versionen haben die Entwickler mehrere kritische Sicherheitslücken geschlossen.
(Bild: Artur Szczybylo/Shutterstock.com)
Die Netzwerkspeicher-Modelle NAS326 und NAS542 von Zyxel sind attackierbar und Angreifer können im schlimmsten Fall Befehle auf Systemebene ausführen. Sicherheitspatches schaffen Abhilfe.
In einer Warnmeldung führen die Entwickler die gegen die Attacken abgesicherten Versionen V.5.21(AAZF.15)C0 und V5.21/ABAG.12)C0 auf. Alle vorigen Ausgaben sollen von den Schwachstellen betroffen sein.
Die Sicherheitslücken
In drei Fällen (CVE-2023-35138 "kritisch", CVE-2023-4473 "kritisch", CVE-2023-4474 "kritisch") können Angreifer Zyxel zufolge ohne Authentifizierung durch das Versenden von präparierten HTTP-POST-Anfragen oder URLs Befehle im System ausführen. Aufgrund der kritischen Einstufung liegt im Anschluss eine vollständige Kompromittierung der Systeme nahe.
Die verbleibenden Sicherheitslücken (CVE-2023-35137, CVE-2023-37927, CVE-2023–37928) sind mit dem Bedrohungsgrad "hoch" eingestuft. An diesen Stellen sind etwa Fremdzugriffe auf Systeminformationen vorstellbar.
(des)
