Découverte de failles critiques dans Zyxel.

Découverte de multiples failles critiques dans Zyxel.

Zyxel met en garde contre plusieurs vulnérabilités critiques dans les appareils NAS. Zyxel a résolu plusieurs problèmes de sécurité, dont trois critiques qui pourraient permettre à un attaquant non authentifié d’exécuter des commandes du système d’exploitation sur des périphériques de stockage en réseau (NAS) vulnérables. Les systèmes NAS Zyxel sont utilisés pour stocker des données dans un emplacement centralisé sur le réseau. Ils sont conçus pour des volumes élevés de données et offrent des fonctionnalités telles que la sauvegarde des données, le streaming multimédia ou des options de partage personnalisées.

Un bulletin de sécurité Zyxel concerne des vulnérabilités de contournement d’authentification et d’injection de commandes dans les produits NAS. Il est conseillé aux utilisateurs de les installer pour une protection optimale. Ces vulnérabilités sont de gravité élevées et présentent un score variant de 7,5 à 9,8. Elles pourraient permettre un accès non autorisé à des attaquants non authentifiés. Une situation qui ouvrirait la porte à une exécution de code arbitraire à distance.

Une vulnérabilité d’injection de commandes post-authentification dans le serveur WSGI des appareils NAS Zyxel pourrait permettre à un attaquant authentifié d’exécuter certaines commandes du système d’exploitation en envoyant une URL contrefaite à un appareil vulnérable. (CVE-2023-37928 et CVE-2023-4473)

La neutralisation inappropriée d’éléments spéciaux du du serveur WSGI et du programme CGI dans les appareils NAS Zyxel. Elle pourrait permettre à un attaquant authentifié d’exécuter certaines commandes du système d’exploitation en envoyant une URL contrefaite à un appareil vulnérable. (CVE-2023-37927 et CVE-2023-4474)

Une vulnérabilité d’authentification inappropriée dans le module d’authentification des appareils NAS Zyxel pourrait permettre à un attaquant non authentifié d’obtenir des informations système en envoyant une URL contrefaite à un appareil vulnérable. (CVE-2023-35137)

Une vulnérabilité d’injection de commandes dans la fonction « show_zysync_server_contents » dans les appareils NAS Zyxel pourrait permettre à un attaquant non authentifié d’exécuter certaines commandes du système d’exploitation (OS) en envoyant une requête HTTP POST contrefaite. (CVE-2023-35138)


Le code arbitraire, également connu sous le nom de code obscur ou de code spaghetti, est une pratique où le flux logique d'un programme devient difficile à suivre en raison de la complexité excessive de sa structure. Ce type de code peut résulter d'une mauvaise conception, de l'accumulation de correctifs sans structure claire, ou simplement d'un manque de compréhension du langage de programmation utilisé. Le code arbitraire rend la maintenance et la mise à jour du logiciel difficiles et augmente le risque d'erreurs. Pour éviter cela, il est essentiel de suivre des pratiques de programmation claires et de maintenir une structure logique dans le code.

Les pirates s'intéressent plus particulièrement aux vulnérabilités critiques des logiciels et des systèmes d'exploitation. Ces failles permettent généralement d'obtenir une élévations de privilège donnant des droits d'administrateur. Une situation qui permet d'autoriser l'exécution de code arbitraire à distance à l'insu des victimes. Ce sont particulièrement les failles de catégorie zero days qui sont ciblées en priorité du fait de leur absence de correctif. Le retard d'application des mises à jour des vulnérabilités présente aussi un risque potentiel de contrôle à distance non sollicité.


L'élévation de privilège en informatique désigne le processus par lequel un utilisateur ou un programme obtient des droits d'accès supérieurs à ceux qui lui sont normalement accordés. Cela peut être intentionnel, comme lorsqu'un administrateur accorde temporairement des privilèges à un utilisateur pour effectuer une tâche spécifique, ou involontaire, souvent exploitée par des pirates pour compromettre un système. Les vulnérabilités logicielles et les failles de sécurité sont souvent exploitées pour réaliser des élévations de privilèges, mettant ainsi en danger la confidentialité et l'intégrité des données.

L'administrateur peut reconfigurer le système d'exploitation. Il peut gérer les autorisations d'accès au réseau. Il surveille le système, gère la sécurité et automatise certaines tâches. Toutes ces fonctions présentent un risque pour les systèmes infectés et une atteinte à la politique de sécurité. Pour prévenir de telles attaques, il est essentiel de maintenir à jour les logiciels et d'appliquer des bonnes pratiques en matière de sécurité informatique.


Les cyberattaques sont des attaques malveillantes menées contre des systèmes informatiques, réseaux ou données, dans le but de causer des dommages, voler des informations ou perturber les opérations. Elles peuvent prendre différentes formes, telles que les virus, les logiciels malveillants, les attaques de phishing ou les attaques par déni de service (DDoS). Elles peuvent provenir aussi d'attaques par rançongiciels, par botnets ou via l'exploitation de failles critiques de sécurité dites Zero-Day.

Une cyberattaque peut émaner de personnes isolées, Kevin Mitnick étant une des plus célèbres, d'un groupe de pirates ou plus récemment de vastes organisations ayant des objectifs géopolitiques. Les retards liés à l'application des mises à jours et correctifs d'applications accentue les risques d'intrusion dans les systèmes et les réseaux. Des exploits dormants infectent les systèmes et les réseaux non corrigés en vue de leur future activation. Un procédé qui permet de masquer l'origine de l'attaque et de voler des informations confidentielles dans un but lucratif.

Ces attaques peuvent avoir des conséquences dévastatrices, tant pour les individus que pour les entreprises ou les gouvernements, allant de la perte de données sensibles à la mise hors service de services essentiels. La protection contre les cyberattaques est devenue une priorité majeure pour tous ceux qui utilisent des technologies informatiques.


Un serveur de stockage en réseau, également appelé stockage en réseau NAS, boîtier de stockage en réseau ou plus simplement NAS, est un serveur de fichiers autonome, relié à un réseau, dont la principale fonction est le stockage de données en un volume centralisé pour des clients réseau hétérogènes. Le NAS est souvent comparé au service de stockage et de partage de copies de fichiers locaux en ligne proposé par Dropbox. Ce qui fait la particularité du NAS, c'est son gros volume de stockage  et son partage avec de multiples appareils. Les solutions de serveurs NAS sont largement représentées par les entreprises taïwanaises Synology et QNAP. Depuis 2020, les serveurs NAS font l'objet de cyberattaques qui se propagent via des campagnes de phishing afin de diffuser des charges utiles de rançongiciels comme ECh0raix.


ZyXEL Communications est un constructeur taïwanais de modems, adaptateurs ISDN, adaptateurs DSL, commutateurs réseau, routeurs et points d'accès Wi-Fi. Fondé en 1989, ZyXEL compte environ 3 200 employés dans le monde dont 30 % dans le secteur recherche et développement. Selon ZyXEL, "Nous contribuons à votre avantage concurrentiel et à la satisfaction élevée de vos clients grâce à des solutions haut débit innovantes et évolutives, une feuille de route technologique transparente et une présence locale agile."

Bleeping Computer est un site Web couvrant l'actualité technologique et offrant une aide informatique gratuite via ses forums, qui a été créé par Lawrence Abrams en 2004. Avec plus de 700 000 membres enregistrés qui posent des questions et y répondent, BleepingComputer.com est devenu une communauté dynamique et animée de personnes partageant les mêmes idées.

A propos de l'auteur

Retour en haut