Zyxel ออกแพตช์ฉุกเฉินแก้ไข RCE ในอุปกรณ์ NAS ที่หมดอายุการใช้งาน

200/67 (IT) ประจำวันพฤหัสบดีที่ 6 มิถุนายน 2567

Zyxel Networks ได้ออกอัปเดตความปลอดภัยฉุกเฉินเพื่อแก้ไขช่องโหว่ระดับ Critical จำนวน 3 รายการที่ส่งผลกระทบต่ออุปกรณ์ NAS รุ่นเก่าที่ end-of-life ช่องโหว่นี้กระทบต่อ NAS326 ที่ใช้เฟิร์มแวร์เวอร์ชัน 5.21(AAZF.16)C0 หรือเก่ากว่า และ NAS542 ที่ใช้เฟิร์มแวร์เวอร์ชัน 5.21(ABAG.13)C0 หรือเก่ากว่า ซึ่งสามารถทำให้ผู้โจมตีสามารถดำเนินการ command injection และ remote code execution ได้ โดยช่องโหว่เหล่านี้ได้รับการค้นพบและรายงานโดย Timothy Hjort นักวิจัยด้านความปลอดภัยจาก Outpost24

รายละเอียดของช่องโหว่ที่ได้รับการเปิดเผยมีดังนี้

– CVE-2024-29972: เป็นช่องโหว่ Command injection ใน CGI program (‘remote_help-cgi’) ที่ทำให้ผู้โจมตีที่ไม่ได้รับการรับรองความถูกต้องสามารถส่งคำขอ HTTP POST ที่สร้างขึ้นเป็นพิเศษเพื่อ execute OS commands โดยใช้ NsaRescueAngel backdoor account ที่มีสิทธิ์ root

– CVE-2024-29973: เป็นช่องโหว่ Command injection ในพารามิเตอร์ ‘setCookie’ ที่ทำให้ผู้โจมตีสามารถส่งคำขอ HTTP POST ที่สร้างขึ้นเป็นพิเศษเพื่อ execute OS commands

– CVE-2024-29974: เป็นช่องโหว่ Remote code execution ใน CGI program (‘file_upload-cgi’) ที่ทำให้ผู้โจมตีที่ไม่ได้รับการรับรองความถูกต้องสามารถอัปโหลดไฟล์ที่เป็นอันตรายบนอุปกรณ์ได้

– CVE-2024-29975: เป็นช่องโหว่ Improper privilege management ใน SUID executable binary ที่ทำให้ผู้โจมตีที่ได้รับการตรวจสอบสิทธิ์พร้อมสิทธิ์ของผู้ดูแลระบบสามารถ execute system commands ในฐานะผู้ใช้ ” root ” (ช่องโหว่นี้ยังไม่ได้รับการแก้ไข)

– CVE-2024-29976: เป็นช่องโหว่ Improper privilege management ใน ‘show_allsessions’ command ที่ทำให้ผู้โจมตีที่ได้รับการรับรองความถูกต้องสามารถรับ session information รวมถึงคุกกี้ของผู้ดูแลระบบที่ใช้งานอยู่ (ช่องโหว่นี้ยังไม่ได้รับการแก้ไข)    

Zyxel ยังรายงานเพิ่มเติมว่าในขณะนี้จะยังไม่ได้พบการโจมตีที่ใช้ประโยชน์จากช่องโหว่เหล่านี้ แต่ได้มีการเปิดเผย proof-of-concept แบบสาธารณะแล้ว จึงแนะนำให้เจ้าของอุปกรณ์ควรรีบทำการอัปเดตความปลอดภัยโดยเร็วที่สุด

แหล่งข่าว https://www.bleepingcomputer.com/news/security/zyxel-issues-emergency-rce-patch-for-end-of-life-nas-devices/