Zyxel avertit les utilisateurs de ses périphériques NAS (Network Attached Storage) de mettre à jour leur firmware pour corriger une vulnérabilité d’injection de commande de gravité critique.
La vulnérabilité récemment découverte, CVE-2023-27992, est un problème d’injection de commande de pré-authentification qui pourrait permettre à un attaquant non authentifié d’exécuter des commandes du système d’exploitation en envoyant des requêtes HTTP spécialement conçues.
La faille a été découverte par Andrej Zaujec, NCSC-FI, et Maxim Suslov et a reçu un score CVSS v3 de 9,8, la qualifiant de « critique ».
Les appareils concernés, les versions de firmware et les versions corrigées sont :
- NAS326 – impacts V5.21(AAZF.13)C0 et versions antérieures, corrigés dans V5.21(AAZF.14)C0
- NAS540 – impacts V5.21(AATB.10)C0 et versions antérieures, corrigés dans V5.21(AATB.11)C0
- NAS542 – impacts V5.21(ABAG.10)C0 et versions antérieures, corrigés dans V5.21(ABAG.11)C0
Zyxel n’a fourni aucune solution de contournement ou atténuation pour CVE-2023-27992 dans son dernier avis, il est donc recommandé aux utilisateurs des appareils NAS concernés d’appliquer les mises à jour de sécurité disponibles dès que possible.
Breachtrace conseille également fortement à tous les propriétaires de NAS de ne pas exposer leurs appareils à Internet et de les rendre uniquement accessibles depuis le réseau local ou via un VPN. Le simple fait de placer le périphérique NAS derrière un pare-feu réduira considérablement son exposition à de nouvelles vulnérabilités, car les pirates ne peuvent pas facilement les cibler.
Actuellement, la complexité de la requête HTTP malveillante et d’autres conditions pour exploiter les nouvelles vulnérabilités sont inconnues. Pourtant, le fait que l’exploitation ne nécessite pas d’authentification rend cette faille plus facile à exploiter.
Les pirates sont toujours à la recherche de failles critiques sur les appareils Zyxel qui peuvent être exploitées à distance et adoptent rapidement des exploits PoC (preuve de concept) accessibles au public pour attaquer les appareils qui n’ont pas été corrigés vers une version de firmware sécurisée.
Les appareils NAS sont une cible particulièrement attrayante pour les opérations de ransomware qui exploitent à distance les vulnérabilités pour chiffrer les fichiers et émettre des demandes de rançon. Dans le passé, les appareils QNAP et Synology NAS ont été ciblés par des ransomwares lors d’attaques généralisées.
Pas plus tard que le mois dernier, les utilisateurs Zyxel de pare-feu et de produits VPN ont subi des vagues d’attaques massives de la part de botnets basés sur Mirai et ont peut-être été la cible d’acteurs malveillants plus sélectifs et sophistiqués.
Les attaquants ont activement ciblé les failles CVE-2023-28771, CVE-2023-33009 et CVE-2023-33010, impactant les appareils ATP, USG FLEX, VPN et ZyWALL.
Début juin, l’éditeur a publié un avis de sécurité contenant des conseils sur la protection de ces produits contre les attaques qui sévissaient depuis plus d’un mois.
Cela dit, il est crucial de prendre des mesures rapides pour sécuriser les appareils Zyxel NAS et leurs précieuses données, car les attaques peuvent commencer à tout moment maintenant.