Zyxel, EOL NAS cihazlarındaki kritik kusurları düzeltiyor

Zyxel, yakın zamanda güvenlik açığı desteğinin sonuna ulaşan iki ağa bağlı depolama (NAS) cihazını etkileyen üç kritik güvenlik açığı (CVE-2024-29972, CVE-2024-29973 ve CVE-2024-29974) için yamalar yayınladı.

Güvenlik açıkları hakkında

Üç güvenlik açığı şunlardır:

• CGI programında, kimliği doğrulanmamış bir saldırganın hazırlanmış bir HTTP POST isteği göndererek bazı işletim sistemi komutlarını yürütmesine izin verebilecek bir komut ekleme güvenlik açığı (CVE-2024-29972)
• “setCookie” parametresinde, kimliği doğrulanmamış bir saldırganın hazırlanmış bir HTTP POST isteği göndererek bazı işletim sistemi komutlarını yürütmesine izin verebilecek bir komut yerleştirme güvenlik açığı (CVE-2024-29973)
• “file_upload-cgi” CGI programındaki, kimliği doğrulanmamış bir saldırganın, güvenlik açığı bulunan bir aygıta hazırlanmış bir yapılandırma dosyası yükleyerek rasgele kod yürütmesine olanak tanıyan bir uzaktan kod yürütme güvenlik açığı (CVE-2024-29974)

Güvenlik açıkları, Outpost24’ün Ghost Labs güvenlik açığı araştırmacısı Timothy Hjort tarafından keşfedildi ve rapor edildi.

Hjort ayrıca uzaktan destek için kullanılan bir arka kapı hesabı da buldu ve zaten savunmasız bir cihaza erişmeyi başarmış saldırganların ayrıcalıklarını yükseltmek için kullanabileceği diğer iki kusur:

• CVE-2024-29975 yönetici ayrıcalıklarına sahip, kimliği doğrulanmış bir saldırganın bazı sistem komutlarını “root” olarak yürütmesine izin verebilir
• CVE-2024-29976 – bir bilgi ifşa kusuru – kimliği doğrulanmış bir saldırganın, yöneticiler de dahil olmak üzere kimliği doğrulanmış tüm kullanıcılar için oturum belirteçleri elde etmesine olanak tanıyabilir.

Güvenlik açıkları hakkında, aynı zamanda kavram kanıtı yararlanma kodunu da ekledi.

Bazı kusurlar için yamalar mevcut

Güvenlik açıkları, v5.21(AAZF.16)C0 ve önceki sürümleri çalıştıran Zyxel NAS modelleri NAS326 ile v5.21(ABAG.13)C0 ve önceki sürümleri çalıştıran NAS542’yi etkiliyor.

Hjort, “Zyxel, koordineli bir açıklamayı kabul ederek açıklama sürecine adil davrandı” dedi.

“Cihazın geçen yılın sonunda Kullanım Ömrünün Sonuna ulaşmış olmasına rağmen, hala yayınlanan yamalar CVE-2024-29972, CVE-2024-29973 ve CVE-2024-29974 adlı üç kritik güvenlik açığı için. Ayrıca cihaz kullanım ömrünün sonuna ulaştığından, ‘Uzaktan Destek’ hesabı ‘NsaRescueAngel’ı kaldırmaya karar verdiler.”

EOL cihazlarının kullanıcılarının sırasıyla v5.21(AAZF.17)C0 ve v5.21(ABAG.14)C0 sürümüne yükseltmeleri önerilir.

Zyxel kusurlardan herhangi birinin istismar edilip edilmediğinden bahsetmedi ancak tüm bu bilgiler artık kamuya açık olduğundan, savunmasız cihazların açığa çıkması muhtemelen an meselesi.