Zyxel Networks, kullanım ömrünün sonuna gelmiş eski NAS cihazlarını etkileyen üç kritik güvenlik açığını gidermek için bir acil durum güvenlik güncellemesi yayınladı.
Kusurlar etkiliyor NAS326 5.21(AAZF.16)C0 ve önceki ürün yazılımı sürümlerini çalıştıran ve NAS542 5.21(ABAG.13)C0 ve daha eski ürün yazılımı sürümlerini çalıştırıyor.
Ağ çözümleri satıcısı, saldırganların komut ekleme ve uzaktan kod yürütme gerçekleştirmesine olanak tanıyan üç kritik açığı giderdi. Ancak, ayrıcalık artışına ve bilgilerin ifşa edilmesine olanak sağlayan kusurlardan ikisi, kullanım ömrü sonu ürünlerde düzeltilmedi.
Outpost24 güvenlik araştırmacısı Timothy Hjort, Zyxel’e yönelik beş güvenlik açığının tamamını keşfetti ve bildirdi. Bugün araştırmacılar, Zyxel’in açıklamasıyla koordineli olarak ayrıntılı bir yazı ve kavram kanıtlama (PoC) istismarları yayınladı.
Açıklanan kusurlar aşağıda listelenmiştir ve yalnızca CVE-2024-29972, CVE-2024-29973 ve CVE-2024-29974 Zixel tarafından düzeltilmiştir:
- CVE-2024-29972: CGI programındaki (‘remote_help-cgi’) komut ekleme kusuru, kimliği doğrulanmamış bir saldırganın, kök ayrıcalıklarına sahip bir NsaRescueAngel arka kapı hesabını kullanarak işletim sistemi komutlarını yürütmek için özel hazırlanmış bir HTTP POST isteği göndermesine olanak tanır.
- CVE-2024-29973: ‘setCookie’ parametresindeki komut ekleme kusuru, bir saldırganın işletim sistemi komutlarını yürütmek için özel hazırlanmış bir HTTP POST isteği göndermesine olanak tanır.
- CVE-2024-29974: CGI programındaki (‘file_upload-cgi’) uzaktan kod yürütme hatası, kimliği doğrulanmamış bir saldırganın cihaza kötü amaçlı yapılandırma dosyaları yüklemesine olanak tanır.
- CVE-2024-29975: SUID yürütülebilir ikili dosyasındaki uygun olmayan ayrıcalık yönetimi kusuru, yönetici haklarına sahip kimliği doğrulanmış bir yerel saldırganın “kök” kullanıcı olarak sistem komutlarını yürütmesine olanak tanıyor. (Sabit değil)
- CVE-2024-29976: ‘show_allsessions’ komutunda, kimliği doğrulanmış bir saldırganın etkin yönetici çerezleri de dahil olmak üzere oturum bilgilerini ele geçirmesine olanak tanıyan uygun olmayan ayrıcalık yönetimi sorunu. (Sabit değil)
Her iki NAS modeli de 31 Aralık 2023’te destek sürelerinin sonuna ulaşmış olsa da Zyxel, NAS326 için 5.21(AAZF.17)C0 ve NAS542 için 5.21(ABAG.14)C0 versiyonlarındaki üç kritik kusur için düzeltmeler yayınladı.
“CVE-2024-29972, CVE-2024-29973 ve CVE-2024-29974 güvenlik açıklarının kritik ciddiyeti nedeniyle Zyxel, yamaları müşterilerin kullanımına sundu […] Ürünler zaten güvenlik açığı sonu desteğine ulaşmış olmasına rağmen”, bir Zyxel güvenlik tavsiyesi yazıyor.
Zyxel, vahşi doğada istismar edilen güvenlik açığını gözlemlemediğini söylüyor. Ancak artık herkese açık kavram kanıtı istismarları mevcut olduğundan, sahiplerin güvenlik güncellemelerini mümkün olan en kısa sürede uygulamaları gerekir.