Zyxel Networks は、製造終了となった古い NAS デバイスに影響を及ぼす 3 つの重大な脆弱性に対処するため、緊急セキュリティアップデートをリリースした。
この欠陥は、ファームウェアバージョン5.21(AAZF.16)C0以前のNAS326およびファームウェアバージョン5.21(ABAG.13)C0以前のNAS542に影響します。
ネットワークソリューションベンダーは、攻撃者がコマンドインジェクションやリモートコード実行を実行することを可能にする3つの重大な欠陥に対処しました。しかし、特権の昇格と情報漏洩を可能にする欠陥のうち2つは、使用済み製品では修正されていなかった。
Outpost24のセキュリティ研究者Timothy Hjortは、5つの脆弱性すべてを発見し、Zyxelに報告した。本日、研究者は、Zyxelの開示と連携して、詳細な報告書と概念実証(PoC)エクスプロイトを公表した。
公開された欠陥は以下のとおりで、CVE-2024-29972、CVE-2024-29973、および CVE-2024-29974 だけが Zixel によって修正されている:
- CVE-2024-29972:cve-2024-29972: CGI プログラム (‘remote_help-cgi’) にコマンドインジェクションの欠陥があり、 認証されていない攻撃者が特別に細工した HTTP POST リクエストを送り、 root 権限を持つ NsaRescueAngel バックドアアカウントを使って OS のコマンドを実行できてしまう。
- CVE-2024-29973:cve-2024-29973: ‘setCookie’ パラメータにコマンドインジェクションの欠陥があり、攻撃者が特別に細工した HTTP POST リクエストを送信して OS のコマンドを実行する可能性があります。
- cve-2024-29974:CGI プログラム (‘file_upload-cgi’) にリモートコード実行のバグがあり、 認証されていない攻撃者がデバイス上に悪意のある設定ファイルを アップロードできる可能性があります。
- CVE-2024-29975: SUID 実行バイナリに特権管理の不備があり、管理者権限を持つ認証済みのローカル攻撃者に、 「root」ユーザとしてシステムコマンドを実行される可能性があります。(修正されていません)
- CVE-2024-29976:show_allsessions’ コマンドに特権管理の不備があり、 認証された攻撃者がアクティブな管理者クッキーを含む セッション情報を取得できてしまう問題。(修正されていません)
どちらのNASモデルも2023年12月31日にサポート期間が終了しましたが、ZyxelはNAS326のバージョン5.21(AAZF.17)C0とNAS542のバージョン5.21(ABAG.14)C0で3つの重大な欠陥に対する修正をリリースしました。
「脆弱性CVE-2024-29972、CVE-2024-29973、およびCVE-2024-29974の重大性により、ザイセルは、製品がすでに脆弱性サポートの終了に達しているにもかかわらず、顧客にパッチを提供しました。
Zyxel社によれば、この脆弱性が悪用された事例は確認されていないという。しかし、現在、概念実証の悪用が公開されているため、所有者はできるだけ早くセキュリティ・アップデートを適用する必要がある。
Comments