Zyxel ha pubblicato la patch per chiudere una vulnerabilità RCE critica in tre dei suoi NAS: l’installazione della patch è urgente.
Per i NAS è un momento difficile sotto l’aspetto della cybersecurity. Dopo gli attacchi documentati contro i dispositivi Qnap e l’emissione della relativa patch, è la volta di Zyxel. L’azienda ha pubblicato la patch per una vulnerabilità RCE critica che interessa i tre modelli NAS326, NAS540 e NAS542, tutti ancora attivamente supportati.
La vulnerabilità è tracciata con la sigla CVE-2022-34747, a cui è associato un punteggio CVSS di 9.8 su 10. Il problema è stato scoperto dal ricercatore di sicurezza Shaposhnikov Ilya a giugno 2022, e da quel momento la casa produttrice ha lavorato alla preparazione della patch. I dettagli che sono stati divulgati – al di là della criticità - sono scarni.
Sulla pagina ufficiale di supporto si fa riferimento a “una vulnerabilità della stringa di formato, trovata in uno specifico binario di prodotti Zyxel NAS che potrebbe consentire a un utente malintenzionato di ottenere l’esecuzione di codice remoto non autorizzata tramite un pacchetto UDP realizzato”. In buona sostanza la falla in esame può essere sfruttata per rubare dati, eliminare dati o distribuire ransomware su NAS esposti a Internet.
Oltre al modello, per sapere se i prodotti sono affetti è necessario controllare la release del firmware: quelle fallate sono la V5.21(AAZF.11)C0 e precedenti nel caso del NAS326, la V5.21(AATB.8)C0 e precedenti per il NAS540 e, la V5.21(AATB.8)C0 o precedenti per il NAS542. Per chi lo preferisse, è possibile collegarsi al portale di download ufficiale di Zyxel, inserire il modello del dispositivo e scaricare l'ultimo aggiornamento firmware disponibile.
Trattandosi di una falla RCE, fra le possibili opzioni di sfruttamento risultano anche la possibilità di bypassare l’autenticazione dell'utente e l'escalation dei privilegi. Il ransomware comunque resta l’opzione più preventivabile, dato che è quella che garantisce una maggiore monetizzazione agli attaccanti.
Oltre tutto, alla luce degli attacchi ransomware sempre più soventi scagliati contro i NAS, non sorprenderebbe se venisse attuata questa opzione anche contro i prodotti Zyxel. Fra i gruppi in circolazione, quelli maggiormente specializzati negli attacchi contro i NAS ricordiamo DeadBolt, Checkmate ed eChoraix, tutti particolarmente attivi quest’anno.