.
A Zyxel acaba de lançar correções de segurança para dois de seus dispositivos obsoletos de armazenamento conectado à rede (NAS) depois que um estagiário de um fornecedor de segurança relatou falhas críticas meses atrás.
Os modelos NAS326 (executando a versão V5.21(AAZF.16)C0 e anteriores) e NAS542 (executando as versões V5.21(ABAG.13)C0 e anteriores) são afetados. Ambos atingiram o status de fim de vida (EOL) em 31 de dezembro de 2023 e agora estão vulneráveis a várias vulnerabilidades críticas que podem levar à execução remota de código (RCE) e outros problemas.
Timothy Hjort, estagiário de pesquisa de vulnerabilidades da Outpost24, relatou cinco vulnerabilidades ao fornecedor com sede em Taiwan em março. Hjort e Zyxel divulgaram os detalhes da vulnerabilidade e patches respectivamente na terça-feira por meio de uma divulgação coordenada.
O artigo de Hjort também incluiu um código de prova de conceito que informaria possíveis invasores sobre como explorar as vulnerabilidades, o que significa que é especialmente importante aplicar patches agora.
JetBrains ainda está bravo com Rapid7 pelos ataques de ransomware a seus clientes
CONSULTE MAIS INFORMAÇÃO
“Devido à gravidade crítica das vulnerabilidades CVE-2024-29972, CVE-2024-29973 e CVE-2024-29974, a Zyxel disponibilizou patches aos clientes com suporte estendido… apesar dos produtos já terem atingido o fim da vulnerabilidade- suporte”, disse o fornecedor em um comunicado.
Todas as três falhas críticas receberam pontuações de gravidade CVSSv3 de 9,8 – quase tão ruins quanto parecem.
CVE-2024-29972 está relacionado a uma conta backdoor no firmware Zyxel chamada “NsaRescueAngel” – uma conta de suporte remoto com privilégios de root que foi supostamente removida em 2020, mas parece estar viva e funcionando, pelo menos nessas versões afetadas.
CVE-2024-29973 é uma falha de injeção de código Python que foi introduzida, diz Hjort, depois que Zyxel corrigiu uma vulnerabilidade crítica do ano passado (CVE-2023-27992), cuja pesquisa informou as últimas descobertas do estagiário.
Ao corrigir CVE-2023-27992, Hjort disse que Zyxel “adicionou um novo endpoint que usa a mesma abordagem dos antigos e, ao fazer isso, implementou os mesmos erros de seus antecessores”. Resumindo, uma solicitação HTTP POST especialmente criada permite que invasores executem comandos no sistema operacional.
Finalmente, CVE-2024-29974 é um bug RCE que oferece aos invasores um pouco mais de persistência. O backdoor NsaRescueAngel, no entanto, é apagado após a reinicialização do dispositivo. Afeta o programa file_upload-cgi do firmware, responsável por fazer backup e restaurar os arquivos de configuração de um dispositivo.
As outras duas vulnerabilidades – CVE-2024-29975 e CVE-2024-29976 – são falhas de escalonamento de privilégios com pontuações de gravidade de 6,7 e 6,5, respectivamente.
As três falhas críticas agora foram corrigidas com a versão V5.21(AAZF.17)C0 para dispositivos NAS326 e V5.21(ABAG.14)C0 para caixas NAS542.
Nem Zyxel nem Hjort comentaram se as vulnerabilidades foram realmente exploradas em estado selvagem. No entanto, quando os planos sobre como fazer isso são publicados, geralmente é apenas uma questão de dias até que os ataques comecem… basta perguntar à JetBrains. ®
.
