Zyxel, NAS Cihazları için Acil Durum Güvenlik Güncellemesini Yayınladı

Zyxel Salı günü, eski ağa bağlı depolama cihazlarını etkileyen üç kritik güvenlik açığını ele alan bir acil durum güvenlik güncellemesi yayınladı: kullanım ömrü sonu durumuna ulaşan NAS326 ve NAS542 modelleri.

Güvenlik açıkları CVE-2024-29972, CVE-2024-29973 ve CVE-2024-29974 olarak tanımlanıyor.

CVE-2024-29972, CGI programında bir komut ekleme güvenlik açığı içeriyor remote_help-cgi Bu, saldırganların hazırlanmış HTTP POST istekleri aracılığıyla işletim sistemi komutlarını yürütmesine olanak tanıyabilir.

Başka bir komut enjeksiyon güvenlik açığı olan CVE-2024-29973, “setCookie” parametresinde bulunmaktadır ve komut yürütülmesine izin verebilir.

CVE-2024-29974, CGI programında uzaktan kod yürütme güvenlik açığıdır file_upload-cgi Bu, saldırganların hazırlanmış bir dosyayı yükleyerek rastgele kod çalıştırmasına olanak tanıyabilir.

Outpost24 güvenlik araştırmacısı Timothy Hjort, bu güvenlik açıklarının yanı sıra yama yapılmamış iki güvenlik açığını ortaya çıkardı: CVE-2024-29975 ve CVE-2024-29974. Bunlar sırasıyla yerel ayrıcalık yükseltme ve kalıcı uzaktan kod yürütme güvenlik açığıdır.

Düzeltme eki uygulanmayan güvenlik açıkları, kimliği doğrulanmış yerel saldırganların “kök” kullanıcı olarak sistem komutlarını yürütmesine veya etkilenen cihazlarda çerezleri içeren oturum bilgilerini elde etmesine olanak tanıyabilir.

Hjort, Zyxel’in sunucu kurulumunda kötü tasarım tercihleri ​​olarak adlandırdığı durumun altını çizdi. Cihazların ana işlevleri, bir Python web çerçevesi olan CherryPy ve Python 2’yi kullanan bir sunucuda çalışır.

Hjort, bu kurulumun ağırlıklı olarak kullanıcı girişinin filtrelenip daha sonra aktarılmasına dayandığını söyledi. eval() önemli güvenlik riskleri oluşturan işlev çağrıları. Ayrıca Zyxel NAS cihazlarındaki önceki güvenlik açıklarının, kodun bağımlı olduğu temel sorunu ele almak yerine genellikle daha fazla filtre eklenerek yamandığını söyledi. eval() Aramalar.