Компания Zyxel Networks выпустила экстренные патчи для трех критических уязвимостей, затрагивающих старые устройства NAS, срок поддержки которых уже истек. Проблемы затрагивают NAS326 с прошивкой версии 5.21(AAZF.16)C0 и более ранних версий, а также NAS542 с прошивкой версии 5.21(ABAG.13)C0 и более ранних версий.
Обнаруженные и исправленные теперь уязвимости позволяют осуществлять инъекции команд и удаленное выполнение кода. Однако еще две ошибки, позволяющие повысить привилегии и раскрыть информацию, не были устранены.
Все пять багов обнаружили специалисты из Outpost24, которые теперь опубликовали подробный отчет и PoC-эксплоиты для них.
- CVE-2024-29972: Инъекция команд в remote_help-cgi, позволяющая неаутентифицированному злоумышленнику отправить специально подготовленный HTTP POST-запрос для выполнения команд на уровне ОС с помощью учетной записи NsaRescueAngel, имеющей привилегии root;
- CVE-2024-29973: инъекция команд в параметре setCookie, позволяющая злоумышленнику отправить специально подготовленный HTTP POST-запрос для выполнения команд на уровне ОС;
- CVE-2024-29974: удаленное выполнение кода в file_upload-cgi', позволяющее неавторизованному злоумышленнику загружать на устройство вредоносные файлы конфигурации;
- CVE-2024-29975: некорректное управление привилегиями в исполняемом бинарнике SUID, позволяющее аутентифицированному локальному злоумышленнику с правами администратора выполнять системные команды от имени пользователя root (не исправлено);
- CVE-2024-29976: некорректное управление привилегиями в show_allsessions, позволяющее аутентифицированному злоумышленнику получить информацию о сеансе, включая активные cookie администратора (не исправлено).
Хотя срок поддержки упомянутых моделей NAS истек в прошлом году, компания Zyxel выпустила исправления для трех критических багов в версиях 5.21(AAZF.17)C0 для NAS326 и 5.21(ABAG.14)C0 для NAS542.
«Ввиду критической серьезности уязвимостей CVE-2024-29972, CVE-2024-29973 и CVE-2024-29974 компания Zyxel предоставила исправления клиентам, несмотря на то, что продукты уже достигли срока окончания поддержки»,— пояснили в Zyxel.