Zyxel korjasi kriittisen haavoittuvuuden verkkolevyasemissaan (NAS)

Verkkolaitevalmistaja Zyxel julkaisi korjaavat päivitykset kriittisiin haavoihin verkkolevyasemissa (NAS). Kyberturvallisuuskeskus suosittelee omistajia päivittämään kyseiset laitteet välittömästi.

Haavoittuvuus koskee Zyxel-verkkolevyasemien (NAS) omistajia. Kyseisiä tuotteita käyttävät esimerkiksi organisaatiot tai yksityishenkilöt, jotka tarvitsevat tilaa vaikkapa kuvausharrastuksen vuoksi.

Haavoittuvuus mahdollistaa laitteella mielivaltaisten komentojen ja koodin suorittamisen ilman käyttäjätunnusta tai käyttäjän toimia. Haavoittuvuuteen on saatavilla korjauspäivitys ja se on syytä asentaa välittömästi. Kyberturvallisuuskeskus muistuttaa, että kaikkia laitteita ei ole tarve kytkeä internetiin. Esimerkiksi rikolliset etsivät verkosta haavoittuvia laitteita ja voivat käyttää niitä erilaisiin haitallisiin tarkoituksiin.

Zyxel kiittää tiedotteessaan Kyberturvallisuuskeskuksen (NCSC-FI) apua haavoittuvuuden löytämisessä. Kyberturvallisuuskeskuksen asiantuntijat löysivät haavoittuvuuden ja se ilmoitettiin 24.4.2023 Zyxelille korjattavaksi.

Haavoittuvuuden kohde

Haavoittuvat tuetut laitteet ja laiteohjelmistot sekä korjaavat versiot:

NAS326     V5.21(AAZF.13)C0 ja aiemmat     korjaava versio: V5.21(AAZF.14)C0
NAS540     V5.21(AATB.10)C0 ja aiemmat     korjaava versio: V5.21(AATB.11)C0
NAS542     V5.21(ABAG.10)C0 ja aiemmat     korjaava versio: V5.21(ABAG.11)C0

Mistä on kysymys?

Laiteohjelmistosta on saatavilla päivitetty versio, joka on syytä päivittää heti.

Mitä voin tehdä?

Huom. Zyxel on listannut tiedotteessaan vain tällä hetkellä tuetut mallit. Haavoittuvuus voi olla myös vanhemmissa laitteissa, joiden tuki on jo päättynyt (ns. EoL). Tällaiset laitteet eivät välttämättä saa päivitystä, jolloin laite on haavoittuva. Vanhentuneet tuotteet on syytä pitää pois internetistä ja miettiä laitteiden korvaamista uudella.

Valmistajan tiedote: https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-pre-authentication-command-injection-vulnerability-in-nas-products

Verkon aktiivilaitteet

Verkon aktiivilaitteilla tarkoitetaan sellaisia laitteita, jotka ovat yleensä tavallisen käyttäjän näkymättömissä, kuten esimerkiksi reitittimet, kytkimet ja palomuurit. Nämä laitteet ja niiden ohjelmistot välittävät tai suodattavat verkkoliikennettä.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman käyttäjän toimia

Ilman käyttäjän toimia tapahtuva hyökkäys kohdistuu suoraan haavoittuvuuteen ilman että järjestelmän käyttäjältä vaaditaan mitään toimia hyökkäyksen onnistumiseksi. Käyttäjän ei esimerkiksi tarvitse selailla www-sivuja tai käynnistää ohjelmaa tietokoneessa, vaan hyökkäys onnistuu ilman käyttäjän apua.

Ilman kirjautumista

Hyökkäys ei vaadi kohteena olevaan järjestelmään kirjautumista. Vastakohtana ovat sellaiset hyökkäykset, jotka vaativat käyttäjätunnuksen ja salasanan käyttöä ja esimerkiksi komentojen suorittamista järjestelmään kirjautuneena.

Palvelunestohyökkäys

Palvelunestohyökkäyksen tarkoituksena on estää kohdejärjestelmää toimimasta siinä tehtävässä mihin se on tarkoitettu. Hyökkäyksen tarkoituksena voi olla esimerkiksi www- tai sähköpostipalvelimen kuormittaminen runsaalla verkkoliikenteellä.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Käyttövaltuuksien laajentaminen

Käyttövaltuuksien laajentaminen mahdollistaa järjestelmän käyttämisen esimerkiksi pääkäyttäjänä, tavallista käyttäjää laajemmin valtuuksin.

Tietojen muokkaaminen

Järjestelmään talletettujen tietojen muokkaaminen ei välttämättä edellytä komentojen suorittamista, käyttövaltuuksien laajentamista tai järjestelmään kirjautumista. Esimerkiksi käyttämällä hyväksi www-palvelinohjelmiston haavoittuvuutta voi hyökkääjä luvatta muuttaa palvelimella näkyvien verkkosivujen sisältöä.

Luottamuksellisen tiedon hankkiminen

Luottamuksellisten tietojen hankkiminen kohdejärjestelmästä edellyttää sitä, että sen tietosisältöä, esimerkiksi kiintolevylle talletettuja tiedostoja, pääsee lukemaan luvatta ja välittämään edelleen.

Rikollisessa käytössä

Haavoittuvuus on rikollisessa käytössä.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.