Zyxel не бросила старые NAS: свежие патчи устраняют сразу три уязвимости

Компания Zyxel выпустила экстренное обновление безопасности для устранения трёх критических уязвимостей в старых моделях NAS-устройств, срок поддержки которых уже истёк.

Уязвимости затрагивают модели NAS326 с прошивкой версии 5.21(AAZF.16)C0 и ранее, а также NAS542 с прошивкой версии 5.21(ABAG.13)C0 и старше.

Эти уязвимости позволяют злоумышленникам выполнять внедрение команд и удалённое выполнение кода. Однако две другие уязвимости, связанные с повышением привилегий и раскрытием информации, не были устранены в этих устройствах. Кто знает, возможно, компания устранит и эти проблемы позже.

Тимоти Хьорт, исследователь безопасности из компании Outpost24, обнаружил и сообщил о всех пяти уязвимостях в Zyxel. Вчера, четвёртого июня, Хьорт опубликовал подробный отчёт и демонстрацию работы PoC-эксплойтов в координации с компанией Zyxel.

Уязвимости, которые были исправлены, включают:

• CVE-2024-29972. Уязвимость командной инъекции в программе CGI («remote_help-cgi»), позволяющая неаутентифицированному атакующему отправить специально сформированный HTTP POST-запрос для выполнения команд ОС с использованием учётной записи NsaRescueAngel с привилегиями root.
• CVE-2024-29973. Уязвимость внедрения команд в параметре «setCookie», позволяющая атакующему отправить специально сформированный HTTP POST-запрос для выполнения системных команд.
• CVE-2024-29974. Ошибка удалённого выполнения кода в программе CGI («file_upload-cgi»), позволяющая неаутентифицированному атакующему загрузить вредоносные конфигурационные файлы на устройство.

Не исправлены следующие уязвимости:

• CVE-2024-29975. Ошибка управления привилегиями в исполняемом бинарном файле SUID, позволяющая аутентифицированному локальному атакующему с правами администратора выполнять системные команды от имени пользователя root.
• CVE-2024-29976. Проблема управления привилегиями в команде «show_allsessions», позволяющая аутентифицированному атакующему получить информацию о сессиях, включая активные cookie-файлы администратора.

Хотя поддержка данных моделей NAS завершилась 31 декабря 2023 года, Zyxel выпустила исправления для трёх критических уязвимостей в версиях 5.21(AAZF.17)C0 для NAS326 и 5.21(ABAG.14)C0 для NAS542. Это выгодно выделяет компанию на фоне конкурентов, которые зачастую отказываются выпускать исправления для вышедшего из цикла поддержки оборудования.

Представители Zyxel сообщают, что на данный момент не зафиксировано случаев эксплуатации уязвимостей в реальных условиях. Однако, учитывая наличие публичных доказательств концепции эксплойтов, владельцам устройств рекомендуется как можно скорее применить обновления безопасности.