Zyxel NAS device

Zyxel は、同社の NAS (Network Attached Storage) デバイスのユーザーに対し、ファームウェアを更新して重大度のコマンド インジェクションの脆弱性を修正するよう警告しています。

新たに発見された脆弱性CVE-2023-27992 は、認証前のコマンド インジェクションの問題で、認証されていない攻撃者が特別に細工された HTTP リクエストを送信することでオペレーティング システム コマンドを実行できる可能性があります。

この欠陥は Andrej Zaujec 氏、NCSC-FI 氏、および Maxim Suslov 氏によって発見され、CVSS v3 スコア 9.8 を獲得し、「重大」と評価されました。

影響を受けるデバイス、ファームウェアのバージョン、およびパッチ適用されたリリースは次のとおりです。

  • NAS326 – V5.21(AAZF.13)C0 以前に影響し、V5.21(AAZF.14)C0 で修正されました
  • NAS540 – V5.21(AATB.10)C0 以前に影響し、V5.21(AATB.11)C0 で修正されました
  • NAS542 – V5.21(ABAG.10)C0 以前に影響し、V5.21(ABAG.11)C0 で修正されました

Zyxel は、 最新のアドバイザリで CVE-2023-27992 に対する回避策や軽減策を提供していないため、影響を受ける NAS デバイスのユーザーは、利用可能なセキュリティ アップデートをできるだけ早く適用することをお勧めします。

また、すべての NAS 所有者に対し、デバイスをインターネットに公開せず、ローカル ネットワークまたは VPN 経由でのみアクセスできるようにすることを強く推奨します。 NAS デバイスをファイアウォールの内側に配置するだけで、脅威アクターが簡単に標的にすることができないため、新たな脆弱性への露出が大幅に軽減されます。

現時点では、悪意のある HTTP リクエストの複雑さや、新しい脆弱性を悪用するためのその他の条件は不明です。しかし、悪用には認証が必要ないという事実により、この欠陥が悪用されやすくなります。

ハッカーは、リモートから悪用できる Zyxel デバイス上の重大な欠陥を常に探しており、公開されている PoC (概念実証) エクスプロイトをすぐに採用して、安全なファームウェア バージョンにパッチが適用されていないデバイスを攻撃します。

NAS デバイスは、脆弱性をリモートで悪用してファイルを暗号化し、身代金を要求するランサムウェア活動の特に魅力的なターゲットです。過去には、QNAP および Synology NAS デバイスがランサムウェアの広範囲にわたる攻撃の標的となっていました。

つい先月、ファイアウォールと VPN 製品の Zyxel ユーザーが Mirai ベースのボットネットからの大規模な攻撃を受け、より選択的で洗練された攻撃者によって標的にされた可能性があります。

攻撃者は CVE-2023-28771、CVE-2023-33009、および CVE-2023-33010 の欠陥を積極的にターゲットにし、ATP、USG FLEX、VPN、および ZyWALL デバイスに影響を与えました。

6 月初旬、ベンダーは、1 か月以上継続していた攻撃からこれらの製品を保護するためのガイダンスを含むセキュリティ勧告を公開しました。

とはいえ、いつ攻撃が開始されるかわからないため、Zyxel NAS デバイスとその貴重なデータを保護するために迅速な措置を講じることが重要です。