[English]Betreibt jemand ein Zyxel NAS in seiner Umgebung? Der taiwanesische Hersteller hat gerade vor mehreren Schwachstellen in der Firmware dieser Geräte gewarnt. Drei kritische Schwachstellen ermöglichen es einem nicht authentifizierten Angreifer Betriebssystembefehle auf anfälligen NAS-Geräten (Network-Attached Storage) auszuführen. Es stehen Firmware-Updates für die betroffenen Geräte bereit, um diese Schwachstellen zu schließen.
Anzeige
Keine Ahnung, ob Zyxel NAS-Systeme bei der Leserschaft für Backups im Netzwerk oder zur Datensicherung, zum Medienstreaming etc. eingesetzt werden. Mit älterer Firmware sind die Geräte aber anfällig für Angriffe, speziell, wenn die NAS-Einheiten per Internet erreichbar sind. Zyxel hat zum 30. November 2023 in diesem Sicherheitshinweis die nachfolgend aufgeführten Schwachstellen aufgelistet, und mit Firmware-Updates geschlossen:
- CVE-2023-35137: An improper authentication vulnerability in the authentication module of the Zyxel NAS326 firmware version V5.21(AAZF.14)C0 and NAS542 firmware version V5.21(ABAG.11)C0 could allow an unauthenticated attacker to obtain system information by sending a crafted URL to a vulnerable device.
- CVE-2023-35138: A command injection vulnerability in the "show_zysync_server_contents" function in Zyxel NAS devices could allow an unauthenticated attacker to execute some operating system (OS) commands by sending a crafted HTTP POST request.
- CVE-2023-37927: The improper neutralization of special elements in the CGI program in Zyxel NAS devices could allow an authenticated attacker to execute some OS commands by sending a crafted URL to a vulnerable device.
- CVE-2023-37928: A post-authentication command injection vulnerability in the WSGI server in Zyxel NAS devices could allow an authenticated attacker to execute some OS commands by sending a crafted URL to a vulnerable device.
- CVE-2023-4473: A command injection vulnerability in the web server in Zyxel NAS devices could allow an unauthenticated attacker to execute some OS commands by sending a crafted URL to a vulnerable device.
- CVE-2023-4474: The improper neutralization of special elements in the WSGI server in Zyxel NAS devices could allow an unauthenticated attacker to execute some OS commands by sending a crafted URL to a vulnerable device.
In den verlinkten CVEs sind die betroffenen Zyxel Firmware-Versionen aufgeführt.
- NAS326 mit Firmware V5.21(AAZF.14)C0 und früher – Patch-Version V5.21(AAZF.15)C0
- NAS542 mit Firmware V5.21(ABAG.11)C0 und früher – Patch-Version V5.21(ABAG.12)C0
Die Kollegen von Bleeping Computer hatten in diesem Artikel auf das Thema hingewiesen und liefern noch einige Informationen dazu.
Anzeige
Ergänzung: Die Entdecker einiger dieser Schwachstellen haben mich kontaktiert und auf ihre Veröffentlichungen hier und hier mit Details hingewiesen.
Anzeige
Ich frag mich immer wieso man die NAS Boxen direkt ins Internet stellen muss. Immer wieder tauchen da Sicherheitslücken auf egal bei welchem Hersteller. Wenn man die nur als Datenhalde nutzt brauchen die keinen Internetzugriff.
Ein nicht wesentlicher Teil der Leute hat halt keine Ahnung oder beschäftigt sich nicht wirklich mit dem, was man hat / nutzt (nicht nur auf die IT beschränkt). Da wird das gemacht, was irgendwo angepriesen, ein Bekannter / Freund als 'ich mach das so und so' erzählt oder der erste google-Treffer für die Einrichtung angibt bzw. besonders einfach in der Umsetzung ist. Die Leute wollen Sachen einfach nutzen und nicht hinterfragen oder sich einlesen.
Wäre ja schön wenn kein Internetzugang die Standardeinstellung wäre und beim Aktivieren eine deutliche Warnung vor den Gefahren käme. Obwohl auch das von vielen Benutzern wohl einfach weggeklickt wird.
NAS326 ist aber auch historische Hardware: Marvell Armada 380 mit Dual A9, 32-bit with 512 KB DDR3…
Ich habe hier eines. Das war vor einigen Jahren OK, bzw. auch heute, wenn man es nur als langsamen Daten-/Medienspeicher nutzen will. Das Ding ist tatsächlich so langsam, wenn man das Exploiten will, wirkt es fast als Tarpit…