Af Eskil Sørensen, 12/09/22
Udbyderen af netværksløsninger Zyxel har udgivet patches til en kritisk sårbarhed, der påvirker firmwaren på modeller med flere netværkstilkoblede lagerenheder (NAS).
Det skriver Security Week.
Fejlen har id’et CVE-2022-34747 og en CVSS-score på 9,8 ud af 10. Det er en ’format string’ sårbarhed, der påvirker Zyxel NAS326-firmwareversioner før V5.21(AAZF.12)C0.
Udnyttelse af en sådan sårbarhed sker, når indsendte data for en inputstreng fortolkes som en kommando af applikationen. På denne måde kan en angriber afvikle kode, læse stakken eller forårsage en segmenteringsfejl i den kørende applikation, uden at have rettighederne til det. Dette kan medføre nye ændringer i applikationen, der kan kompromittere systemets sikkerhed eller stabilitet.
I dette tilfælde kan en angriber udnytte sårbarheden ved at sende specialfremstillede UDP-pakker til de berørte produkter. Succesfuld udnyttelse af fejlen kan give en angriber mulighed for at afvikle vilkårlig kode på den berørte enhed, fremgår det af Zyxels orientering om sårbarheden.
Ifølge samme oplyses det, at der er identificeret tre NAS-modeller, der er berørt, og som stadig supporteres. Fejlen blev rettet allerede i midten af august med udsendelse af firmwareopdateringer til NAS326-, NAS540- og NAS542-modellerne. Offentliggørelse af detaljerne af fejlen er sket nu for at hindre angribere i at bruge kræfter på at udvikle exploitkode mhp. kommerciel udnyttelse.
Security Week skriver, at Zyxels meddelelse blev offentliggjort kun få dage efter, at QNAP advarede om en ny bølge af Deadbolt ransomware-angreb rettet mod dets NAS-brugere.
NAS står for network attached storage, som bruges til lagring af store mængder data. Af den grund er de ofte i ransomwareaktørers søgelys. Samtidig kan remote code execution-fejl nemt føre til fuldstændig kompromittering af enheder.
Tidligere var Zyxel NAD-produkter genstand for målrettede angreb fra en variant af Mirai-botnettet.
Links:
https://www.securityweek.com/zyxel-patches-critical-vulnerability-nas-firmware