Zyxel, yakın zamanda güvenlik açığı desteğinin sonuna ulaşan iki ağa bağlı depolama (NAS) cihazını etkileyen üç kritik güvenlik açığı (CVE-2024-29972, CVE-2024-29973 ve CVE-2024-29974) için yamalar yayınladı.
Güvenlik açıkları hakkında
Üç güvenlik açığı şunlardır:
- CGI programında, kimliği doğrulanmamış bir saldırganın hazırlanmış bir HTTP POST isteği göndererek bazı işletim sistemi komutlarını yürütmesine izin verebilecek bir komut ekleme güvenlik açığı (CVE-2024-29972)
- “setCookie” parametresinde, kimliği doğrulanmamış bir saldırganın hazırlanmış bir HTTP POST isteği göndererek bazı işletim sistemi komutlarını yürütmesine izin verebilecek bir komut ekleme güvenlik açığı (CVE-2024-29973)
- “file_upload-cgi” CGI programındaki, kimliği doğrulanmamış bir saldırganın, güvenlik açığı bulunan bir aygıta hazırlanmış bir yapılandırma dosyası yükleyerek rasgele kod yürütmesine olanak tanıyan bir uzaktan kod yürütme güvenlik açığı (CVE-2024-29974)
Güvenlik açıkları, Outpost24’ün Ghost Labs güvenlik açığı araştırmacısı Timothy Hjort tarafından keşfedildi ve rapor edildi.
Hjort ayrıca uzaktan destek için kullanılan bir arka kapı hesabı (sözde dört yıl önce kaldırılmıştı) ve zaten savunmasız bir cihaza erişim elde etmiş saldırganlar tarafından ayrıcalıklarını yükseltmek için kullanılabilecek iki kusur daha buldu:
- CVE-2024-29975 yönetici ayrıcalıklarına sahip, kimliği doğrulanmış bir saldırganın bazı sistem komutlarını “root” olarak yürütmesine izin verebilir
- CVE-2024-29976 – bir bilgi ifşa kusuru – kimliği doğrulanmış bir saldırganın, yöneticiler de dahil olmak üzere kimliği doğrulanmış tüm kullanıcılar için oturum belirteçleri elde etmesine olanak tanıyabilir.
Güvenlik açıklarıyla ilgili teknik yazısında ayrıca kavram kanıtı yararlanma kodunu da içeriyordu.
Bazı kusurlar için yamalar mevcut
Güvenlik açıkları, v5.21(AAZF.16)C0 ve önceki sürümleri çalıştıran Zyxel NAS modelleri NAS326 ile v5.21(ABAG.13)C0 ve önceki sürümleri çalıştıran NAS542’yi etkiliyor.
Hjort, “Zyxel, koordineli bir açıklamayı kabul ederek açıklama sürecine adil davrandı” dedi.
“Cihazın geçen yılın sonunda Kullanım Ömrünün Sonuna ulaşmış olmasına rağmen, CVE-2024-29972, CVE-2024-29973 ve CVE-2024-29974 üç kritik güvenlik açığı için hala yamalar yayınladılar. Ayrıca cihaz kullanım ömrünün sonuna ulaştığından, ‘Uzaktan Destek’ hesabı ‘NsaRescueAngel’ı kaldırmaya karar verdiler.”
EOL cihazlarının kullanıcılarının sırasıyla v5.21(AAZF.17)C0 ve v5.21(ABAG.14)C0 sürümüne yükseltmeleri önerilir.
Zyxel, kusurlardan herhangi birinin istismar edilip edilmediğinden bahsetmedi, ancak tüm bu bilgiler artık kamuya açık olduğundan, savunmasız cihazların bir botnet’e dahil edilmesi veya fidye yazılımı tarafından vurulması muhtemelen sadece bir zaman meselesi.