-
09/04/2020
-
85
-
553 bài viết
Tin vui: Zyxel phát hành bản vá cho lỗ hổng RCE nghiêm trọng trên thiết bị NAS
Zyxel vừa phát hành các bản vá cho một lỗ hổng an ninh có mức độ nghiêm trọng, ảnh hưởng đến các thiết NAS của hãng. Network-attached storage (NAS) là thiết bị lưu trữ dữ liệu qua mạng gắn trực tiếp vào mạng IP được sử dụng phổ biến trên thế giới.
Có tên cúng cơm là CVE-2022-34747 (điểm CVSS: 9,8), lỗ hổng liên quan đến lỗi format string, ảnh hưởng đến các model NAS326, NAS540 và NAS542.
Để khai thác lỗ hổng, hacker cần gửi 1 gói tin UDP đặc biệt tới thiết bị Zyxel NAS bị ảnh hưởng, khiến xử lý chuỗi đầu vào bị lỗi dẫn đến thay đổi địa chỉ, qua đó kẻ tấn công có thể thực thi mã từ xa trái phép.
Các phiên bản bị ảnh hưởng bao gồm:
Có vẻ nửa đầu năm 2022 là khoảng thời gian vất vả của Zyxel khi liên tục phải tung bản vá cho những lỗ hổng quan trọng và nghiêm trọng.
Hồi tháng 6 năm 2022, hãng đã phải khắc phục một lỗ hổng (CVE-2022-0823) khiến các thiết bị chuyển mạch dòng GS1200 dễ bị tấn công đoán mật khẩu thông qua một cuộc tấn công timing side-channel.
Tháng 7 năm 2022, Zyxel cũng đã xử lý một lỗ hổng leo thang đặc quyền cục bộ và các lỗ hổng truyền tải thư mục xác thực (CVE-2022-30526 và CVE-2022-2030) trong các sản phẩm tường lửa của mình.
Mong rằng những tháng cuối của năm 2022 sẽ dễ dàng hơn với nhà sản xuất thiết bị mạng Đài Loan, chứ cả năm cứ loay hoay quay cuồng với những lỗ hổng nghiêm trọng thì hỏng.
Có tên cúng cơm là CVE-2022-34747 (điểm CVSS: 9,8), lỗ hổng liên quan đến lỗi format string, ảnh hưởng đến các model NAS326, NAS540 và NAS542.
Để khai thác lỗ hổng, hacker cần gửi 1 gói tin UDP đặc biệt tới thiết bị Zyxel NAS bị ảnh hưởng, khiến xử lý chuỗi đầu vào bị lỗi dẫn đến thay đổi địa chỉ, qua đó kẻ tấn công có thể thực thi mã từ xa trái phép.
Các phiên bản bị ảnh hưởng bao gồm:
- NAS326 (V5.21 (AAZF.11)C0 trở về trước)
- NAS540 (V5.21 (AATB.8)C0 trở về trước)
- NAS542 (V5.21 (ABAG.8)C0 trở về trước)
Có vẻ nửa đầu năm 2022 là khoảng thời gian vất vả của Zyxel khi liên tục phải tung bản vá cho những lỗ hổng quan trọng và nghiêm trọng.
Hồi tháng 6 năm 2022, hãng đã phải khắc phục một lỗ hổng (CVE-2022-0823) khiến các thiết bị chuyển mạch dòng GS1200 dễ bị tấn công đoán mật khẩu thông qua một cuộc tấn công timing side-channel.
Tháng 7 năm 2022, Zyxel cũng đã xử lý một lỗ hổng leo thang đặc quyền cục bộ và các lỗ hổng truyền tải thư mục xác thực (CVE-2022-30526 và CVE-2022-2030) trong các sản phẩm tường lửa của mình.
Mong rằng những tháng cuối của năm 2022 sẽ dễ dàng hơn với nhà sản xuất thiết bị mạng Đài Loan, chứ cả năm cứ loay hoay quay cuồng với những lỗ hổng nghiêm trọng thì hỏng.
Nguồn: The Hacker News