2024年6月4日,網路設備製造商 Zyxel 發佈了一項重要警告,指出其已停產的 NAS產品中存在三個嚴重漏洞,這些漏洞是由 Outpost24 的安全研究員 Timothy Hjort 發現並於3月提供Zyxel報告。Hjort 在其技術文章中詳細解釋了這些漏洞的技術細節可能導致命令注入和任意程式碼執行。這些漏洞的嚴重性也引起了廣泛關注。
三個嚴重漏洞
CVE-2024-29972 和 CVE-2024-29973
這兩個漏洞是命令注入錯誤,透過已驗證的 HTTP POST 請求設計來利用。CVE-2024-29972 允許攻擊者啟用名為 "NsaRescueAngel" 的後門帳戶,該帳戶具有 root 權限。這意味著攻擊者可以完全控制受影響的設備。
CVE-2024-29974
這個漏洞不需要身份驗證,攻擊者可以通過上傳特製的設定檔來執行任意程式碼。該漏洞影響備份和還原設定檔的功能,允許攻擊者在易受攻擊的裝置上實現持久的程式碼執行。
受影響的 Zyxel NAS 產品包括 NAS326 和 NAS542,這些產品已於 2023 年 12 月停產。受影響的型號包括運行版本 V5.21(AAZF.16)C0 及更早版本的 NAS326 和運行版本 V5.21(ABAG.13)C0 及更早版本的 NAS542。
Zyxel已釋出更新檔並建議立即更新
Zyxel 強烈建議受影響的 NAS326 和 NAS542 用戶立即更新至最新的韌體版V5.21(AAZF.17)C0 和 V5.21(ABAG.14)C0。該公司在公告中指出,儘管這些產品已達到生命週期終止狀態,但仍然提供了修補程式和支援,以應對這些嚴重漏洞。