6月4日兆勤(Zyxel Networks)針對旗下網路儲存設備NAS326、NAS542發布資安公告,指出這些設備存在5項漏洞CVE-2024-29972、CVE-2024-29973、CVE-2024-29974、CVE-2024-29975、CVE-2024-29976,並指出有鑑於其中3項漏洞極為嚴重,即使這些設備生命週期已於去年底結束,他們還是決定破例提供新版韌體修補重大漏洞。至於這些漏洞是否已遭到利用,該公司並未提出說明。

這些得到修補的漏洞,包含了命令注入漏洞CVE-2024-29972、CVE-2024-29973,以及遠端程式碼執行(RCE)漏洞CVE-2024-29974,皆為重大層級,CVSS風險評分也都達到9.8分。

其中,CVE-2024-29972位於名為remote_help-cgi的CGI程式,而CVE-2024-29973則是發生在setCookie參數,攻擊者能在未經授權的情況下,藉由發送偽造的HTTP POST請求,從而執行部分作業系統層級的命令。

至於另一個重大層級漏洞CVE-2024-29974,出現在名為file_upload-cgi的CGI程式,未經授權的攻擊者能藉由上傳偽造的組態,藉此漏洞執行任意程式碼。

通報上述漏洞的資安業者Outpost24也公布相關細節,表示他們發現漏洞的原因,是在調查去年重大層級的預先身分驗證命令注入漏洞CVE-2023-27992(CVSS風險評為9.8分)的過程,他們發現兆勤修補該漏洞的方式有不足之處。先前兆勤是藉由加入基礎的過濾機制,並限制最大長度,從而達到防堵攻擊者藉由/favicon.ico繞過身分驗證,但這麼做難以防範周全。

研究人員指出,兆勤藉由加入更多過濾規則來緩解漏洞,而非解決程式碼依賴eval( )函數的根本問題,由於過濾機制與身分驗證並未集中處理,而是取決於每個端點決定身分驗證是否適用,或是輸入的資料對於eval( )而言是否足夠安全。為了驗證上述設計邏緝產生的缺陷,他們製作有效酬載來驗證新發現的漏洞。

他們也對這些漏洞補充說明,像是CVE-2024-29972涉及名為NsaRescueAngel的後門帳號,而且,該帳號具備root權限;而CVE-2024-29974不只能用於發動遠端執行程式碼攻擊,還能讓攻擊者持續在受害裝置上活動。

熱門新聞

Advertisement