518/66 (IT) ประจำวันจันทร์ที่ 4 ธันวาคม 2566
Zyxel ออกแพตช์เพื่อแก้ไขช่องโหว่จำนวน 15 รายการในที่ส่งผลกระทบต่อ network-attached storage (NAS), firewall, และ access point (AP) devices โดยมีช่องโหว่ระดับ critical จำนวน 3 รายการที่สามารถ authentication bypass และ command injection
ช่องโหว่จำนวน 3 รายการดังนี้
– CVE-2023-35138 (คะแนน CVSS: 9.8) เป็นช่องโหว่ command injection ที่อาจทำให้ผู้โจมตีที่ไม่ได้รับการรับรองความถูกต้องสามารถ execute ระบบปฏิบัติการบางคำสั่งโดยการ request HTTP POST ที่สร้างขึ้น
– CVE-2023-4473 (คะแนน CVSS: 9.8) เป็นช่องโหว่ command injection ใน web server ที่อาจทำให้ผู้โจมตีที่ไม่ได้รับการรับรองความถูกต้องสามารถ execute ระบบปฏิบัติการบางอย่างโดยการส่ง URL ที่สร้างขึ้นไปยังอุปกรณ์ที่มีช่องโหว่
– CVE-2023-4474 (คะแนน CVSS: 9.8) improper neutralization of special element เป็นช่องโหว่พิเศษที่อาจทำให้ผู้โจมตีที่ไม่ได้รับการรับรองความถูกต้องสามารถ execute ระบบปฏิบัติการบางอย่างโดยการส่ง URL ที่สร้างขึ้นไปยังอุปกรณ์ที่มีช่องโหว่
ช่องโหว่ได้ส่งผลกระทบต่อรุ่นและเวอร์ชันดังต่อไปนี้
– NAS326 – เวอร์ชัน V5.21(AAZF.14) C0 และเวอร์ชั่นที่เก่ากว่า แพทช์ใน V5.21(AAZF.15) C0
– NAS542 – เวอร์ชัน V5.21(ABAG.11) C0 และเวอร์ชั่นที่เก่ากว่า แพตช์ใน V5.21(ABAG.12) C0
เนื่องจากอุปกรณ์ Zyxel อาจถูกโจมตี จึงแนะนำอย่างยิ่งให้ผู้ใช้งานทำการอัปเดตล่าสุดเพื่อป้องกันภัยคุกคามที่อาจเกิดขึ้น
แหล่งข่าว https://thehackernews.com/2023/12/zyxel-releases-patches-to-fix-15-flaws.html