Zyxel не бросила старые NAS: свежие патчи устраняют сразу три уязвимости

Простой способ обойти блокировки – купи VPN через Телеграмм-бот:

Обновите свои сетевые хранилища как можно скорее – эксплойты уже на руках у хакеров.

Компания Zyxel выпустила экстренное обновление безопасности для устранения трёх критических уязвимостей в старых моделях NAS-устройств, срок поддержки которых уже истёк.

Уязвимости затрагивают модели NAS326 с прошивкой версии 5.21(AAZF.16)C0 и ранее, а также NAS542 с прошивкой версии 5.21(ABAG.13)C0 и старше.

Эти уязвимости позволяют злоумышленникам выполнять внедрение команд и удалённое выполнение кода. Однако две другие уязвимости, связанные с повышением привилегий и раскрытием информации, не были устранены в этих устройствах. Кто знает, возможно, компания устранит и эти проблемы позже.

В России и ищешь VPN? Покупай через Телеграмм-бот:

Тимоти Хьорт, исследователь безопасности из компании Outpost24, обнаружил и сообщил о всех пяти уязвимостях в Zyxel. Вчера, четвёртого июня, Хьорт опубликовал подробный отчёт и демонстрацию работы PoC-эксплойтов в координации с компанией Zyxel.

Уязвимости, которые были исправлены, включают:

  • CVE-2024-29972. Уязвимость командной инъекции в программе CGI («remote_help-cgi»), позволяющая неаутентифицированному атакующему отправить специально сформированный HTTP POST-запрос для выполнения команд ОС с использованием учётной записи NsaRescueAngel с привилегиями root.
  • CVE-2024-29973. Уязвимость внедрения команд в параметре «setCookie», позволяющая атакующему отправить специально сформированный HTTP POST-запрос для выполнения системных команд.
  • CVE-2024-29974. Ошибка удалённого выполнения кода в программе CGI («file_upload-cgi»), позволяющая неаутентифицированному атакующему загрузить вредоносные конфигурационные файлы на устройство.

Не исправлены следующие уязвимости:

  • CVE-2024-29975. Ошибка управления привилегиями в исполняемом бинарном файле SUID, позволяющая аутентифицированному локальному атакующему с правами администратора выполнять системные команды от имени пользователя root.
  • CVE-2024-29976. Проблема управления привилегиями в команде «show_allsessions», позволяющая аутентифицированному атакующему получить информацию о сессиях, включая активные cookie-файлы администратора.
  Spinning YARN 2.0: майнеры нашли новую лазейку в Docker

Хотя поддержка данных моделей NAS завершилась 31 декабря 2023 года, Zyxel выпустила исправления для трёх критических уязвимостей в версиях 5.21(AAZF.17)C0 для NAS326 и 5.21(ABAG.14)C0 для NAS542. Это выгодно выделяет компанию на фоне конкурентов, которые зачастую отказываются выпускать исправления для вышедшего из цикла поддержки оборудования.

Представители Zyxel сообщают, что на данный момент не зафиксировано случаев эксплуатации уязвимостей в реальных условиях. Однако, учитывая наличие публичных доказательств концепции эксплойтов, владельцам устройств рекомендуется как можно скорее применить обновления безопасности.

Станьте призраком в интернете

Узнайте как на нашем канале

Присоединяйтесь сейчас

Надежный VPN сервис — это виртуальная частная сеть, которая обеспечивает высокую степень защиты и конфиденциальности при использовании интернета. Термин "надежный" относится к нескольким ключевым аспектам, которые делают VPN сервис безопасным и эффективным для пользователей.

Надежный VPN защищает ваши личные данные от слежки со стороны хакеров, интернет-провайдеров и государственных органов.

Использование надежного VPN помогает скрыть ваш IP-адрес и обеспечивает анонимность при серфинге в интернете.

Надежный VPN сервис — это важный инструмент для обеспечения безопасности, конфиденциальности и анонимности в интернете. Выбор надежного VPN поможет вам защитить свои данные, обойти блокировки и улучшить свой опыт онлайн-серфинга.

Добавить комментарий