Tin vui: Zyxel phát hành bản vá cho lỗ hổng RCE nghiêm trọng trên thiết bị NAS

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
93
600 bài viết
Tin vui: Zyxel phát hành bản vá cho lỗ hổng RCE nghiêm trọng trên thiết bị NAS
Zyxel vừa phát hành các bản vá cho một lỗ hổng an ninh có mức độ nghiêm trọng, ảnh hưởng đến các thiết NAS của hãng. Network-attached storage (NAS) là thiết bị lưu trữ dữ liệu qua mạng gắn trực tiếp vào mạng IP được sử dụng phổ biến trên thế giới.

zyxel.png

Có tên cúng cơm là CVE-2022-34747 (điểm CVSS: 9,8), lỗ hổng liên quan đến lỗi format string, ảnh hưởng đến các model NAS326, NAS540 và NAS542.

Để khai thác lỗ hổng, hacker cần gửi 1 gói tin UDP đặc biệt tới thiết bị Zyxel NAS bị ảnh hưởng, khiến xử lý chuỗi đầu vào bị lỗi dẫn đến thay đổi địa chỉ, qua đó kẻ tấn công có thể thực thi mã từ xa trái phép.

Các phiên bản bị ảnh hưởng bao gồm:
  • NAS326 (V5.21 (AAZF.11)C0 trở về trước)
  • NAS540 (V5.21 (AATB.8)C0 trở về trước)
  • NAS542 (V5.21 (ABAG.8)C0 trở về trước)
Theo các chuyên gia cho biết, việc tấn công các thiết bị NAS đang dần trở thành một xu hướng phổ biến trong giới tội phạm mạng. Nếu không thực hiện các biện pháp phòng ngừa hoặc cập nhật các bản vá phần mềm kịp thời, người dùng có thể bị tấn tấn công bởi hacker và bị lấy cắp những dữ liệu cá nhân nhạy cảm. Tin tặc thậm chí còn có thể quản lý để xóa vĩnh viễn dữ liệu của nạn nhân.

Có vẻ nửa đầu năm 2022 là khoảng thời gian vất vả của Zyxel khi liên tục phải tung bản vá cho những lỗ hổng quan trọng và nghiêm trọng.

Hồi tháng 6 năm 2022, hãng đã phải khắc phục một lỗ hổng (CVE-2022-0823) khiến các thiết bị chuyển mạch dòng GS1200 dễ bị tấn công đoán mật khẩu thông qua một cuộc tấn công timing side-channel.

Tháng 7 năm 2022, Zyxel cũng đã xử lý một lỗ hổng leo thang đặc quyền cục bộ và các lỗ hổng truyền tải thư mục xác thực (CVE-2022-30526 và CVE-2022-2030) trong các sản phẩm tường lửa của mình.

Mong rằng những tháng cuối của năm 2022 sẽ dễ dàng hơn với nhà sản xuất thiết bị mạng Đài Loan, chứ cả năm cứ loay hoay quay cuồng với những lỗ hổng nghiêm trọng thì hỏng.

Nguồn: The Hacker News
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
cve-2022-0823 cve-2022-2030 cve-2022-30526 cve-2022-34747 nas zyxel
Bên trên