关键RCE漏洞影响Zyxel NAS设备，固件补丁发布

网络设备制造商Zyxel发布了一个影响其网络连接存储（NAS）设备的关键安全缺陷补丁。

跟踪为CVE-2022-34747（CVSS评分：9.8），该问题与影响NAS326、NAS540和NAS542模型的“格式字符串漏洞”有关。Zyxel认为研究人员Shaposhnikov Ilya报告了该缺陷。

该公司在9月6日发布的一份报告中表示:“在Zyxel NAS产品的特定二进制文件中发现了一个格式字符串漏洞，可以让攻击者通过精心制作的UDP包实现未经授权的远程代码执行”。

该缺陷影响以下版本：

• NAS326（V5.21（AAZF.11）C0及更早版本）
• NAS540（V5.21（AATB.8）C0及更早版本）
• NAS542（V5.21（ABAG.8）C0及更早版本）

本次披露之际，Zyxel曾于7月解决了影响其防火墙产品的本地权限升级和认证目录遍历漏洞（CVE-2022-30526和CVE-202-2030）。

2022年6月，它还修复了一个安全漏洞（CVE-2022-0823），该漏洞使GS1200系列交换机容易受到定时侧信道攻击的密码猜测攻击。

几天前，QNAP警告称，新一轮针对其NAS用户的死栓勒索软件攻击将其照片站软件中一个之前未知的缺陷武器化。

入侵NAS设备已成为一种常见做法。如果您不采取预防措施或保持软件最新，攻击者可能会窃取您的敏感和个人数据。在某些情况下，他们甚至能够永久删除数据。