6月4日兆勤（Zyxel Networks）針對旗下網路儲存設備NAS326、NAS542發布資安公告，指出這些設備存在5項漏洞CVE-2024-29972、CVE-2024-29973、CVE-2024-29974、CVE-2024-29975、CVE-2024-29976，並指出有鑑於其中3項漏洞極為嚴重，即使這些設備生命週期已於去年底結束，他們還是決定破例提供新版韌體修補重大漏洞。至於這些漏洞是否已遭到利用，該公司並未提出說明。

這些得到修補的漏洞，包含了命令注入漏洞CVE-2024-29972、CVE-2024-29973，以及遠端程式碼執行（RCE）漏洞CVE-2024-29974，皆為重大層級，CVSS風險評分也都達到9.8分。

其中，CVE-2024-29972位於名為remote_help-cgi的CGI程式，而CVE-2024-29973則是發生在setCookie參數，攻擊者能在未經授權的情況下，藉由發送偽造的HTTP POST請求，從而執行部分作業系統層級的命令。

至於另一個重大層級漏洞CVE-2024-29974，出現在名為file_upload-cgi的CGI程式，未經授權的攻擊者能藉由上傳偽造的組態，藉此漏洞執行任意程式碼。

通報上述漏洞的資安業者Outpost24也公布相關細節，表示他們發現漏洞的原因，是在調查去年重大層級的預先身分驗證命令注入漏洞CVE-2023-27992（CVSS風險評為9.8分）的過程，發現兆勤修補該漏洞的方式，主要是藉由加入基礎的過濾機制，並限制最大長度，從而達到防堵攻擊者藉由/favicon.ico繞過身分驗證，但這麼做難以防範周全。

研究人員指出，兆勤藉由加入更多過濾規則來緩解漏洞，而非解決程式碼依賴eval( )函數的根本問題，由於過濾機制與身分驗證並未集中處理，而是取決於每個端點決定身分驗證是否適用，或是輸入的資料對於eval( )而言是否足夠安全。為了驗證上述設計邏緝產生的缺陷，他們製作有效酬載來驗證新發現的漏洞。

他們也對這些漏洞補充說明，像是CVE-2024-29972涉及名為NsaRescueAngel的後門帳號，而且，該帳號具備root權限；而CVE-2024-29974不只能用於發動遠端執行程式碼攻擊，還能讓攻擊者持續在受害裝置上活動。