Zyxel: patch di emergenza per 5 vulnerabilità critiche su NAS

da Livio Varriale
0 commenti 2 minuti leggi

Zyxel Networks ha rilasciato una patch di sicurezza di emergenza per affrontare tre vulnerabilità critiche che interessano i dispositivi NAS più vecchi che hanno raggiunto la fine del loro ciclo di vita.

Le falle riguardano i dispositivi NAS326 con firmware versione 5.21(AAZF.16)C0 e precedenti, e NAS542 con firmware versione 5.21(ABAG.13)C0 e precedenti. Queste vulnerabilità consentono agli attaccanti di eseguire comandi malevoli e ottenere l’esecuzione di codice remoto. Tuttavia, due delle vulnerabilità che permettono l’escalation dei privilegi e la divulgazione delle informazioni non sono state risolte nei prodotti obsoleti.

Vulnerabilità e correzioni rilasciate

Il ricercatore di sicurezza Timothy Hjort di Outpost24 ha scoperto e segnalato tutte e cinque le vulnerabilità a Zyxel. Oggi, i ricercatori hanno pubblicato un report dettagliato e proof-of-concept (PoC) degli exploit in coordinamento con la divulgazione di Zyxel.

Annunci

Le vulnerabilità divulgate sono elencate di seguito, con solo CVE-2024-29972, CVE-2024-29973 e CVE-2024-29974 risolte da Zyxel:

  • CVE-2024-29972: Vulnerabilità di injection di comandi nel programma CGI (‘remote_help-cgi’) che consente a un attaccante non autenticato di inviare una richiesta HTTP POST appositamente creata per eseguire comandi OS utilizzando un account backdoor NsaRescueAngel con privilegi di root.
  • CVE-2024-29973: Vulnerabilità di injection di comandi nel parametro ‘setCookie’, che consente a un attaccante di inviare una richiesta HTTP POST appositamente creata per eseguire comandi OS.
  • CVE-2024-29974: Bug di esecuzione di codice remoto nel programma CGI (‘file_upload-cgi’), che consente a un attaccante non autenticato di caricare file di configurazione malevoli sul dispositivo.
  • CVE-2024-29975: Problema di gestione impropria dei privilegi nell’eseguibile binario SUID che consente a un attaccante locale autenticato con diritti amministrativi di eseguire comandi di sistema come utente “root”. (Non risolto)
  • CVE-2024-29976: Problema di gestione impropria dei privilegi nel comando ‘show_allsessions’, che consente a un attaccante autenticato di ottenere informazioni sulla sessione, inclusi i cookie degli amministratori attivi. (Non risolto)

Raccomandazioni e Aggiornamenti

Sebbene entrambi i modelli NAS abbiano raggiunto la fine del loro periodo di supporto il 31 dicembre 2023, Zyxel ha rilasciato correzioni per le tre vulnerabilità critiche nelle versioni 5.21(AAZF.17)C0 per NAS326 e 5.21(ABAG.14)C0 per NAS542.

“Data la gravità critica delle vulnerabilità CVE-2024-29972, CVE-2024-29973 e CVE-2024-29974, Zyxel ha reso disponibili le patch ai clienti […] nonostante i prodotti abbiano già raggiunto la fine del supporto alla vulnerabilità,” si legge in un avviso di sicurezza di Zyxel. Zyxel afferma di non aver osservato la vulnerabilità sfruttata in natura. Tuttavia, poiché ora ci sono exploit proof-of-concept pubblici, i proprietari dovrebbero applicare gli aggiornamenti di sicurezza il prima possibile.

Si può anche come

MatriceDigitale.it – Copyright © 2024, Livio Varriale – Registrazione Tribunale di Napoli n° 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Developed with love by Giuseppe Ferrara