CRITICAL✓ PATCH🇬🇧 English

CVE-2024-29972

Command injection w Zyxel NAS326/NAS542 — nieuwierzytelnione RCE

CVSS 9.8v3.1pub. 2024-06-04upd. 2025-01-22

Podatność typu command injection w programie CGI 'remote_help-cgi' urządzeń Zyxel NAS326 i NAS542 umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie poleceń systemowych. Krytyczny poziom zagrożenia wynika z braku wymogu uwierzytelnienia oraz możliwości pełnego przejęcia kontroli nad urządzeniem.

Pokaż oryginał (EN)

** UNSUPPORTED WHEN ASSIGNED ** The command injection vulnerability in the CGI program "remote_help-cgi" in Zyxel NAS326 firmware versions before V5.21(AAZF.17)C0 and NAS542 firmware versions before V5.21(ABAG.14)C0 could allow an unauthenticated attacker to execute some operating system (OS) commands by sending a crafted HTTP POST request.

🤖 Analiza AI
Jak działa

Atakujący wysyła specjalnie spreparowane żądanie HTTP POST do programu CGI 'remote_help-cgi' dostępnego w interfejsie sieciowym urządzenia NAS. Podatny program nie waliduje poprawnie danych wejściowych dostarczonych przez użytkownika, co pozwala na wstrzyknięcie arbitralnych poleceń systemu operacyjnego (command injection, CWE-78). Atak nie wymaga żadnego uwierzytelnienia ani interakcji ze strony użytkownika, a urządzenia są często dostępne bezpośrednio z internetu jako rozwiązania klasy NAS.

Skutki

Atakujący może wykonać dowolne polecenia systemu operacyjnego na podatnym urządzeniu, co w praktyce oznacza pełne przejęcie kontroli — możliwość odczytu, modyfikacji lub usunięcia danych oraz dalszego ruchu w sieci (lateral movement).

Mitygacja

Należy zaktualizować firmware Zyxel NAS326 do wersji V5.21(AAZF.17)C0 lub nowszej oraz Zyxel NAS542 do wersji V5.21(ABAG.14)C0 lub nowszej zgodnie z zaleceniami producenta. Ze względu na fakt, że produkty są oficjalnie oznaczone jako niewspierane, zaleca się rozważenie migracji do aktywnie wspieranych urządzeń. Do czasu aplikacji patcha należy ograniczyć dostęp do interfejsu zarządzania urządzeniem wyłącznie do zaufanych sieci oraz zablokować dostęp z internetu za pomocą firewall.

Kogo dotyczy

Zyxel NAS326 z firmware w wersji wcześniejszej niż V5.21(AAZF.17)C0 oraz Zyxel NAS542 z firmware w wersji wcześniejszej niż V5.21(ABAG.14)C0. Należy zaznaczyć, że w momencie przypisania CVE produkty te były oznaczone jako niewspierane (UNSUPPORTED WHEN ASSIGNED).

Uwagi

Producent oznaczył produkty jako niewspierane (UNSUPPORTED WHEN ASSIGNED) w momencie publikacji CVE. Podatność została odkryta i ujawniona przez firmę Outpost24. Pomimo braku aktywnego wsparcia producent wydał patche firmware adresujące tę oraz inne powiązane podatności w ramach advisory z dnia 2024-06-04.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Zyxel Nas326

    HW
    Zyxel
    wszystkie wersje
  • Zyxel Nas326 Firmware

    OS
    Zyxel
    < 5.21\(aazf.17\)c0
  • Zyxel Nas542

    HW
    Zyxel
    wszystkie wersje
  • Zyxel Nas542 Firmware

    OS
    Zyxel
    < 5.21\(abag.14\)c0
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Auth BypassCommand Injection
CWE
Referencje

Powiązane podatności

CVE-2023-27992CRITICAL9.8⚠ KEVten sam produkt

The pre-authentication command injection vulnerability in the Zyxel NAS326 firmware versions prior to V5.21(AA...

CVE-2020-9054CRITICAL9.8⚠ KEVten sam produkt

Multiple ZyXEL network-attached storage (NAS) devices running firmware version 5.21 contain a pre-authenticati...

CVE-2024-6342CRITICAL9.8PL ✓ten sam produkt

Command injection w Zyxel NAS326/NAS542 — zdalne wykonanie poleceń OS

CVE-2024-29974CRITICAL9.8PL ✓ten sam produkt

RCE w Zyxel NAS326/NAS542 — nieuwierzytelnione wykonanie kodu przez upload pliku

CVE-2024-29973CRITICAL9.8PL ✓ten sam produkt

Command injection w parametrze setCookie urządzeń Zyxel NAS326/NAS542

CVE-2024-29972 — Command injection w Zyxel NAS326/NAS542 — nieuwierzytelnione RCE — CRITICAL 9.8 | CVEbaza.pl