Zyxel, NAS Cihazları için Acil Durum Güvenlik Güncellemesini Yayınladı


Uç Nokta Güvenliği, Yönetişim ve Risk Yönetimi, Nesnelerin İnterneti Güvenliği

Şirket, Kullanım Ömrü Sonu NAS Cihazlarındaki Kusurları Ele Alıyor

Prajeet Nair (@prajeetspeaks) •
5 Haziran 2024

Zyxel, NAS Cihazları için Acil Durum Güvenlik Güncellemesini Yayınladı
Bir Zyxel NAS326 (Resim: Zyxel)

Bir ağ çözümleri satıcısı, kullanım ömrü sona eren ürünlerdeki, uzaktan kod yürütülmesine izin veren kritik güvenlik açıklarını düzeltti.

Ayrıca bakınız: Gartner 2024 Magic Quadrant: Kurumsal Kablolu ve Kablosuz LAN Altyapısı

Zyxel Salı günü, eski ağa bağlı depolama cihazlarını etkileyen üç kritik güvenlik açığını ele alan bir acil durum güvenlik güncellemesi yayınladı: kullanım ömrü sonu durumuna ulaşan NAS326 ve NAS542 modelleri.

Güvenlik açıkları CVE-2024-29972, CVE-2024-29973 ve CVE-2024-29974 olarak tanımlanıyor.

CVE-2024-29972, CGI programında bir komut ekleme güvenlik açığı içeriyor remote_help-cgi Bu, saldırganların hazırlanmış HTTP POST istekleri aracılığıyla işletim sistemi komutlarını yürütmesine olanak tanıyabilir.

Başka bir komut enjeksiyon güvenlik açığı olan CVE-2024-29973, “setCookie” parametresinde bulunmaktadır ve komut yürütülmesine izin verebilir.

CVE-2024-29974, CGI programında uzaktan kod yürütme güvenlik açığıdır file_upload-cgi Bu, saldırganların hazırlanmış bir dosyayı yükleyerek rastgele kod çalıştırmasına olanak tanıyabilir.

Outpost24 güvenlik araştırmacısı Timothy Hjort, bu güvenlik açıklarının yanı sıra yama yapılmamış iki güvenlik açığını ortaya çıkardı: CVE-2024-29975 ve CVE-2024-29974. Bunlar sırasıyla yerel ayrıcalık yükseltme ve kalıcı uzaktan kod yürütme güvenlik açığıdır.

Düzeltme eki uygulanmayan güvenlik açıkları, kimliği doğrulanmış yerel saldırganların “kök” kullanıcı olarak sistem komutlarını yürütmesine veya etkilenen cihazlarda çerezleri içeren oturum bilgilerini elde etmesine olanak tanıyabilir.

Hjort, Zyxel’in sunucu kurulumunda kötü tasarım tercihleri ​​olarak adlandırdığı durumun altını çizdi. Cihazların ana işlevleri, bir Python web çerçevesi olan CherryPy ve Python 2’yi kullanan bir sunucuda çalışır.

Hjort, bu kurulumun ağırlıklı olarak kullanıcı girişinin filtrelenip daha sonra aktarılmasına dayandığını söyledi. eval() önemli güvenlik riskleri oluşturan işlev çağrıları. Ayrıca Zyxel NAS cihazlarındaki önceki güvenlik açıklarının, kodun bağımlı olduğu temel sorunu ele almak yerine genellikle daha fazla filtre eklenerek yamandığını söyledi. eval() Aramalar.





Source link