شرکت Zyxel، چهارم ژوئن ۲۰۲۴، یک به روزرسانی امنیتی فوری برای رفع سه آسیب پذیری بحرانی منتشر کرده است که دستگاههای قدیمی NAS این شرکت را تحت تأثیر قرار میدهند.
این آسیب پذیریها مربوط به NAS326 و NAS542 که به ترتیب نسخههای فریمور 5.21(AAZF.16)C0 و 5.21(ABAG.13)C0 و قدیمیتر را اجرا میکنند، میباشند.
این سه آسیب پذیری بحرانی، مهاجمان را قادر میسازند تا حملات تزریق فرمان (command injection) و اجرای کد از راه دور را به انجام رسانند. با این حال، دو مورد از نقصهایی که امکان افزایش سطح دسترسی و افشای اطلاعات را فراهم میکنند، در این محصولات همچنان باقی ماندهاند و برطرف نشدهاند.
تیموتی هیورت، محقق امنیتی Outpost24، هر پنج آسیب پذیری را کشف و به Zyxel گزارش کرده است. محققان، چهارم ژوئن ۲۰۲۴ با هماهنگی Zyxel، اکسپلویتی را منتشر کردند.
آسیب پذیریهای مذکور به شرح زیر میباشند و تنها CVE-2024-29972، CVE-2024-29973 و CVE-2024-29974 تاکنون پچ شدهاند:
- CVE-2024-29972: یک نقص تزریق فرمان یا Command injection در برنامه CGI (‘remote_help-cgi’) است که به یک مهاجم احراز هویت نشده اجازه میدهد تا یک درخواست HTTP POST ساخته شده ویژه را برای اجرای دستورات سیستم عامل با استفاده از یک اکانت بکدور NsaRescueAngel که دارای دسترسی root است، ارسال کند.
- CVE-2024-29973: نقص تزریق فرمان در پارامتر ” setCookie”، به مهاجم اجازه می دهد تا یک درخواست HTTP POST ساخته شده ویژه برای اجرای دستورات سیستم عامل ارسال کند.
- CVE-2024-29974: باگ اجرای کد از راه دور در برنامه CGI (‘file_upload-cgi’)، به مهاجم احراز هویت نشده اجازه میدهد تا فایل های پیکربندی مخرب را بر روی دستگاه آپلود کند.
- CVE-2024-29975: نقص مدیریت دسترسی نامناسب در باینری قابل اجرای SUID، به یک مهاجم لوکال احراز هویت شده با حقوق دسترسی admin اجازه میدهد تا دستورات سیستم را به عنوان کاربر ” root ” اجرا کند. (این نقص هنوز پچ نشده است).
- CVE-2024-29976: باگ مدیریت دسترسی نامناسب در فرمان “show_allsessions “، به مهاجم احراز هویت شده اجازه میدهد تا اطلاعات نشست از جمله کوکیهای admin فعال را به دست آورد. (این نقص هنوز پچ نشده است).
اگرچه هر دو مدل NAS در سی و یکم دسامبر 2023 به پایان دوره پشتیبانی خود رسیدند اما Zyxel پچهای V5.21(AAZF.17)C0 و V5.21(ABAG.14)C0 را برای برطرف نمودن این سه نقص بحرانی در هر دو مدل دستگاه منتشر کرده است. کاربران این دستگاهها میبایست هرچه سریعتر نسبت به دریافت و نصب پچها اقدام کنند.
