بررسی یک آسیب پذیری در برخی محصولات زایکسل

فروشندگان دستگاه های شبکه زایکسل اخیرا یک بروزرسانی را برای رفع یک نقص مهم در بسیاری از دستگاه های ذخیره متصل به شبکه (NAS) خود منتشر کرده اند. این آسیب پذیری میتواند به منظور فرماندهی از راه دور از دستگاه ها استفاده شود.
یک مهاجم با ارسال یک درخواست ویژه ساخته شده از نوع HTTP POST یا GET به یک دستگاه آسیب پذیر زایکسل، میتواند از راه دور و بدون احراز هویت، کد دلخواهش را روی دستگاه اجرا کند. مهاجم با اتصال مستقیم به دستگاه، میتواند این حمله را روی آن انجام دهد. با این وجود، روش هایی وجود دارد که حتی اگر مهاجمی ارتباط مستقیمی با دستگاه های آسیبپذیر نداشته باشد، بتواند چنین درخواستهایی را روی دستگاه ایجاد کند. به عنوان مثال، بازدید از یک وب سایت مخرب میتواند به راحتی منجر به هک یک دستگاه آسیب پذیر شود.
شرکت زایکسل برای رفع این آسی بپذیری، وصله ای برای این نقص روز صفرم در برخی از محصولات تحت تأثیر خود منتشر کرده است. دستگاههای آسیب پذیر شامل مدل های NAS542، NAS540، NAS520، NAS326، NSA325 v2، NSA325، NSA320S، NSA320، NSA310S، NSA310، NSA221، NSA220 +، NSA220 و NSA210 هستند. شناسه CVE-2020-9054 برای این آسیب پذیری، اختصاص داده شده است.
نظرات کاربران