在一家安全供应商的实习生几个月前报告了严重缺陷后,ZyXEL刚刚发布了对其两个过时的网络连接存储(NAS)设备的安全修复.
NAS326(运行V5.
21(AAZF.
16)C0及更早版本)和NAS542(运行V5.
21(ABAG.
13)C0及更早版本)型号受到影响.
它们在2023年12月31日都达到了生命周期结束(EOL)状态,现在都容易受到几个关键漏洞的攻击,这些漏洞可能会导致远程代码执行(RCE)和其他问题.
Outpost24的漏洞研究实习生Timothy Hjort在3月份向这家台湾供应商报告了5个漏洞.
周二,Hjort和Zyxel通过一项协调披露的方式分别发布了漏洞详细信息和补丁.
Hjort的文章还包括概念证明代码,该代码将告知潜在攻击者如何利用这些漏洞,这意味着现在应用补丁尤其重要.
该供应商在一份公告中表示,尽管这些产品已经达到了终止漏洞支持的程度,但所有三个关键漏洞的严重程度都达到了9.
8--几乎和它们来的时候一样糟糕.
CVE-2024-29972与Zyxel固件中名为“NsaRescueAngel”的后门帐户有关--一个具有超级用户权限的远程支持帐户应该在2020年被删除,但看起来仍然活跃,至少在这些受影响的版本中是这样.
Hjort说,CVE-2024-29973是在Zyxel修补了去年(E-2023-27992)的一个关键漏洞之后引入的一个Python代码注入漏洞.
这项研究为这位实习生的最新发现提供了依据.
在为CVE2023-27992打补丁时,赫伯特表示,Zyxel“增加了一个新的端点,它使用了与旧端点相同的方法,并且在这样做的同时,实现了与前几个端点相同的错误.
”简而言之,巧尽心思构建的HTTP POST请求允许攻击者在操作系统上执行命令.
最后,CVE-2024-29974是一个RCE错误,它实现了持久性,为攻击者提供了更多的东西.
然而,NsaRescueAngel后门在设备重新启动后被擦除.
它会影响固件的FILE_UPLOAD-cgi程序,该程序负责备份和恢复设备的配置文件.
另外两个漏洞-CVE-2024-29975和CVE-2024-29976-都是权限提升漏洞,严重程度分别为6.7和6.5.现在,针对NAS326设备的V5.
21(AAZF.
17)C0版和NAS542盒的V5.
21(ABAG.
14)C0版修补了这三个关键漏洞.
Zyxel和Hjort都没有评论是否真的利用了这些秃鹫.
然而,当如何做到这一点的蓝图公布后,攻击通常只需几天就会引发…问问JetBrains就知道了.®.