Af Eskil Sørensen, 06/06/24
Der er fundet sårbarheder i visse Zyxel-produkter, der har nået end-of-life, dvs. produkter hvor producenten ikke længere er forpligtet til at udsende opdateringer. I dette tilfælde har Zyxel dog udsendt opdateringer til produkterne, sandsynligvis fordi det er relativt nemt for angribere at anvende sårbarhederne til angreb.
Det skriver Bleeping Computer.
Der er tale om tre kritiske sårbarheder, der alle har fået en CVSS-score på 9,8, og som altså er patchet. Sårbarhederne er CVE-2024-29972, CVE-2024-29973 og CVE-2024-29974, hvoraf ”29973” gør det muligt for en angriber at eksekvere OS-kommandoer, mens ”29974” tillader afvikle af kode fra ”remote”.
De berørte produkter er:
- Zyxel NAS326 V5.21(AAZF.16)C0 og tidligere versioner
- Zyxel NAS542 V5.21(ABAG.13)C0 og tidligere versioner
En researcher fra Outpost24, Timothy Hjort, er krediteret for fundet af sårbarhederne, som han har fundet yderligere to af, CVE-2024-29975 og er CVE-2024-29976. Disse er dog ikke blevet patchet. Det er også researcheren, er har udgivet en beskrivelse af sårbarhederne og PoC’erne i koordinering med Zyxels advisory.
Det anbefales at de nævnte produkter opdateres med den udgivne patch.
Links:
https://www.zyxel.com/global/en/support/security-advisories/zyxel-securi...
https://outpost24.com/blog/zyxel-nas-critical-vulnerabilities/
https://www.bleepingcomputer.com/news/security/zyxel-issues-emergency-rc...