兆勤针对生命周期已经结束的NAS设备发布紧急更新,修补重大层级漏洞
支付動態 · 2024-06-05

本周兆勤(Zyxel Networks)针对半年前已经终止支持的NAS设备发布新版固件,目的是修补今年3月获报的重大层级漏洞CVE-2024-29972、CVE-2024-29973,以及CVE-2024-29974

6月4日兆勤(Zyxel Networks)针对旗下网络存储设备NAS326、NAS542发布资安公告,指出这些设备存在5项漏洞CVE-2024-29972、CVE-2024-29973、CVE-2024-29974、CVE-2024-29975、CVE-2024-29976,并指出有鉴于其中3项漏洞极为严重,即使这些设备生命周期已于去年底结束,他们还是决定破例提供新版固件修补重大漏洞。至于这些漏洞是否已遭到利用,该公司并未提出说明。

这些得到修补的漏洞,包含了命令注入漏洞CVE-2024-29972、CVE-2024-29973,以及远程代码运行(RCE)漏洞CVE-2024-29974,皆为重大层级,CVSS风险评分也都达到9.8分。

其中,CVE-2024-29972位于名为remote_help-cgi的CGI程序,而CVE-2024-29973则是发生在setCookie参数,攻击者能在未经授权的情况下,借由发送伪造的HTTP POST请求,从而运行部分操作系统层级的命令。

至于另一个重大层级漏洞CVE-2024-29974,出现在名为file_upload-cgi的CGI程序,未经授权的攻击者能借由上传伪造的组态,借此漏洞运行任意代码。

通报上述漏洞的资安业者Outpost24也公布相关细节,表示他们发现漏洞的原因,是在调查去年重大层级的预先身分验证命令注入漏洞CVE-2023-27992(CVSS风险评为9.8分)的过程,发现兆勤修补该漏洞的方式,主要是借由加入基础的过滤机制,并限制最大长度,从而达到防堵攻击者借由/favicon.ico绕过身分验证,但这么做难以防范周全。

研究人员指出,兆勤借由加入更多过滤规则来缓解漏洞,而非解决代码依赖eval( )函数的根本问题,由于过滤机制与身分验证并未集中处理,而是取决于每个端点决定身分验证是否适用,或是输入的数据对于eval( )而言是否足够安全。为了验证上述设计逻缉产生的缺陷,他们制作有效酬载来验证新发现的漏洞。

他们也对这些漏洞补充说明,像是CVE-2024-29972涉及名为NsaRescueAngel的后门帐号,而且,该帐号具备root权限;而CVE-2024-29974不只能用于发动远程运行代码攻击,还能让攻击者持续在受害设备上活动。

热门文章
PropellerAds 分享了新的 iGaming 案例研究:在 3 个月实现 97,674 次安装和 12,701 笔存款
广告营销
BETFAIR 网络攻击80万用户资料泄露
游戏风向
2027 Global Game Connect(GGC)斯里兰卡招商全面开启!业务人脉尽在掌握!
灰度头条
越南博彩管控逐步放宽,惟本土需求仍显乏力
东南亚资讯
新泽西州7月博彩收入创6.06亿美元新高,颁布禁令
游戏风向
亚洲顶尖游戏供应商多寶游戏 DB GAMING,开创亚洲市场的唯一首选
广告营销
越南在线博彩业政策收紧 催生市场新机遇
东南亚资讯
张侨伟参议员排除全面禁止,敦促菲律宾规范网络赌博
东南亚资讯
哈萨克斯坦计划对在线赌场促销活动进行处罚
游戏风向
亚洲游戏市场观察:15大市场热门游戏与用户趋势
线上游戏
密西西比州众议院委员会推进提议增加赌场税的法案
游戏风向
菲律宾博彩技术赛道迎来新变局,B2B 供应模式加速渗透
东南亚资讯
JILI 宣布与全球板球传奇 AB de Villiers(ABD)达成重磅战略合作
体育游戏
超级PAC筹资4800万美元:体育博彩势力加码
游戏风向
斯里兰卡博弈产业大转型,官方:剑指南亚拉斯维加斯
游戏风向
首页
游戏
合作
发现
我的