200/67 (IT) ประจำวันพฤหัสบดีที่ 6 มิถุนายน 2567
Zyxel Networks ได้ออกอัปเดตความปลอดภัยฉุกเฉินเพื่อแก้ไขช่องโหว่ระดับ Critical จำนวน 3 รายการที่ส่งผลกระทบต่ออุปกรณ์ NAS รุ่นเก่าที่ end-of-life ช่องโหว่นี้กระทบต่อ NAS326 ที่ใช้เฟิร์มแวร์เวอร์ชัน 5.21(AAZF.16)C0 หรือเก่ากว่า และ NAS542 ที่ใช้เฟิร์มแวร์เวอร์ชัน 5.21(ABAG.13)C0 หรือเก่ากว่า ซึ่งสามารถทำให้ผู้โจมตีสามารถดำเนินการ command injection และ remote code execution ได้ โดยช่องโหว่เหล่านี้ได้รับการค้นพบและรายงานโดย Timothy Hjort นักวิจัยด้านความปลอดภัยจาก Outpost24
รายละเอียดของช่องโหว่ที่ได้รับการเปิดเผยมีดังนี้
– CVE-2024-29972: เป็นช่องโหว่ Command injection ใน CGI program (‘remote_help-cgi’) ที่ทำให้ผู้โจมตีที่ไม่ได้รับการรับรองความถูกต้องสามารถส่งคำขอ HTTP POST ที่สร้างขึ้นเป็นพิเศษเพื่อ execute OS commands โดยใช้ NsaRescueAngel backdoor account ที่มีสิทธิ์ root
– CVE-2024-29973: เป็นช่องโหว่ Command injection ในพารามิเตอร์ ‘setCookie’ ที่ทำให้ผู้โจมตีสามารถส่งคำขอ HTTP POST ที่สร้างขึ้นเป็นพิเศษเพื่อ execute OS commands
– CVE-2024-29974: เป็นช่องโหว่ Remote code execution ใน CGI program (‘file_upload-cgi’) ที่ทำให้ผู้โจมตีที่ไม่ได้รับการรับรองความถูกต้องสามารถอัปโหลดไฟล์ที่เป็นอันตรายบนอุปกรณ์ได้
– CVE-2024-29975: เป็นช่องโหว่ Improper privilege management ใน SUID executable binary ที่ทำให้ผู้โจมตีที่ได้รับการตรวจสอบสิทธิ์พร้อมสิทธิ์ของผู้ดูแลระบบสามารถ execute system commands ในฐานะผู้ใช้ ” root ” (ช่องโหว่นี้ยังไม่ได้รับการแก้ไข)
– CVE-2024-29976: เป็นช่องโหว่ Improper privilege management ใน ‘show_allsessions’ command ที่ทำให้ผู้โจมตีที่ได้รับการรับรองความถูกต้องสามารถรับ session information รวมถึงคุกกี้ของผู้ดูแลระบบที่ใช้งานอยู่ (ช่องโหว่นี้ยังไม่ได้รับการแก้ไข)
Zyxel ยังรายงานเพิ่มเติมว่าในขณะนี้จะยังไม่ได้พบการโจมตีที่ใช้ประโยชน์จากช่องโหว่เหล่านี้ แต่ได้มีการเปิดเผย proof-of-concept แบบสาธารณะแล้ว จึงแนะนำให้เจ้าของอุปกรณ์ควรรีบทำการอัปเดตความปลอดภัยโดยเร็วที่สุด