Zyxel Networks a publié une mise à jour de sécurité d’urgence pour corriger trois vulnérabilités critiques affectant les anciens périphériques NAS qui ont atteint la fin de vie.

Les défauts ont un impact sur le NAS326 exécutant les versions de micrologiciel 5.21 (AAZF.16) C0 et versions antérieures, et NAS542 exécutant les versions de micrologiciel 5.21 (ABAG.13) C0 et plus vieux.

Le fournisseur de solutions de mise en réseau a corrigé trois failles critiques, qui permettent aux attaquants d’effectuer l’injection de commandes et l’exécution de code à distance. Cependant, deux des failles permettant l’élévation des privilèges et la divulgation d’informations n’ont pas été corrigées dans les produits en fin de vie.

Timothy Hjort, chercheur en sécurité chez Outpost24, a découvert et signalé les cinq vulnérabilités à Zyxel. Aujourd’hui, les chercheurs ont publié un compte rendu détaillé et des exploits de preuve de concept (PoC) en coordination avec Zyxel disclosure.

Les failles divulguées sont énumérées ci-dessous, avec seulement CVE-2024 – 29972, CVE-2024-29973 et CVE-2024-29974 corrigés par Zyxel:

  • CVE-2024-29972: Faille d’injection de commandes dans le programme CGI (‘remote_help-cgi’) permettant à un attaquant non authentifié d’envoyer une requête HTTP POST spécialement conçue pour exécuter des commandes du système d’exploitation à l’aide d’un compte de porte dérobée NsaRescueAngel disposant des privilèges root.
  • CVE-2024-29973: Faille d’injection de commandes dans le paramètre’ setCookie’, permettant à un attaquant d’envoyer une requête HTTP POST spécialement conçue pour exécuter des commandes du système d’exploitation.
  • CVE-2024-29974: Bug d’exécution de code à distance dans le programme CGI (‘file_upload-cgi’), permettant à un attaquant non authentifié de télécharger des fichiers de configuration malveillants sur l’appareil.
  • CVE-2024-29975: Défaut de gestion des privilèges incorrect dans le binaire exécutable SUID permettant à un attaquant local authentifié avec des droits d’administrateur d’exécuter des commandes système en tant qu’utilisateur » root ». (Non fixé)
  • CVE-2024-29976: Problème de gestion des privilèges incorrect dans la commande ‘show_all sessions’, permettant à un attaquant authentifié d’obtenir des informations de session, y compris des cookies d’administration actifs. (Non fixé)

Bien que les deux modèles de NAS aient atteint la fin de leur période de support le 31 décembre 2023, Zyxel a publié des correctifs pour les trois failles critiques dans les versions 5.21(AAZF.17) C0 pour NAS326 et 5,21 (voir ABAG.14) C0 pour NAS542.

« En raison de la gravité critique des vulnérabilités CVE-2024 – 29972, CVE-2024-29973 et CVE-2024-29974, Zyxel a mis des correctifs à la disposition des clients […] bien que les produits aient déjà atteint la fin de la prise en charge des vulnérabilités », lit-on dans un avis de sécurité de Zyxel.

Zyxel dit qu’il n’a pas observé la vulnérabilité exploitée dans la nature. Cependant, comme il existe maintenant des exploits publics de validation de principe, les propriétaires doivent appliquer les mises à jour de sécurité dès que possible.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *