هشدار امنیتی برای تجهيزات ذخيره‌ساز زايکسل

به روزرساني فوري تجهيزات ذخيره‌ساز زايکسل

زايكسل اعلام کرده است که یک آسیب‌پذیری در دستگاه ذخیره‌ساز متصل به شبکه یا NAS کشف کرده است که به مهاجمان و هكرها اجازه می‌دهد تا از راه دور و بدون احراز هویت کدهای مخرب را در دستگاه آسیب پذیر اجرا کند.

دستگاه‌های ZyXEL NAS با استفاده از برنامه weblogin.cgi احراز هویت انجام می‌دهند.

آسیب پذیری در این برنامه که در قسمت وارد کردن نام کاربری وجود دارد باعث می‌شود که مهاجم بتواند کاراکترهای خاصی را در این قسمت وارد کند و به این ترتیب کدهای مخرب را از این طریق به دستگاه‌ها وارد کند.

با این‌که در این حالت وب سرور با دسترسی root فعال نیست، ولی هكر می‌تواند با تنظیم uid، دسترسی خود را به کاربر root تغییر دهد و با بالاترین سطح دسترسی کدهای دلخواه خود را اجرا کند.

زايکسل تلاش مي‌كند تا در سريع‌ترين زمان ممكن بسته‌هاي به روز رساني جهت رفع اين مشكل را برای دانلود ارائه كند.

اين صفحه مرتب در حال به روزرساني و فريمورهاي جديد به آن اضافه خواهد شد:

https://www.zyxel.com/support/remote-code-execution-vulnerability-of-NAS-products.shtml