Podatność typu command injection w programie CGI 'remote_help-cgi' urządzeń Zyxel NAS326 i NAS542 umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie poleceń systemowych. Krytyczny poziom zagrożenia wynika z braku wymogu uwierzytelnienia oraz możliwości pełnego przejęcia kontroli nad urządzeniem.
▸ Pokaż oryginał (EN)
** UNSUPPORTED WHEN ASSIGNED ** The command injection vulnerability in the CGI program "remote_help-cgi" in Zyxel NAS326 firmware versions before V5.21(AAZF.17)C0 and NAS542 firmware versions before V5.21(ABAG.14)C0 could allow an unauthenticated attacker to execute some operating system (OS) commands by sending a crafted HTTP POST request.
Atakujący wysyła specjalnie spreparowane żądanie HTTP POST do programu CGI 'remote_help-cgi' dostępnego w interfejsie sieciowym urządzenia NAS. Podatny program nie waliduje poprawnie danych wejściowych dostarczonych przez użytkownika, co pozwala na wstrzyknięcie arbitralnych poleceń systemu operacyjnego (command injection, CWE-78). Atak nie wymaga żadnego uwierzytelnienia ani interakcji ze strony użytkownika, a urządzenia są często dostępne bezpośrednio z internetu jako rozwiązania klasy NAS.
Atakujący może wykonać dowolne polecenia systemu operacyjnego na podatnym urządzeniu, co w praktyce oznacza pełne przejęcie kontroli — możliwość odczytu, modyfikacji lub usunięcia danych oraz dalszego ruchu w sieci (lateral movement).
Należy zaktualizować firmware Zyxel NAS326 do wersji V5.21(AAZF.17)C0 lub nowszej oraz Zyxel NAS542 do wersji V5.21(ABAG.14)C0 lub nowszej zgodnie z zaleceniami producenta. Ze względu na fakt, że produkty są oficjalnie oznaczone jako niewspierane, zaleca się rozważenie migracji do aktywnie wspieranych urządzeń. Do czasu aplikacji patcha należy ograniczyć dostęp do interfejsu zarządzania urządzeniem wyłącznie do zaufanych sieci oraz zablokować dostęp z internetu za pomocą firewall.
Zyxel NAS326 z firmware w wersji wcześniejszej niż V5.21(AAZF.17)C0 oraz Zyxel NAS542 z firmware w wersji wcześniejszej niż V5.21(ABAG.14)C0. Należy zaznaczyć, że w momencie przypisania CVE produkty te były oznaczone jako niewspierane (UNSUPPORTED WHEN ASSIGNED).
Producent oznaczył produkty jako niewspierane (UNSUPPORTED WHEN ASSIGNED) w momencie publikacji CVE. Podatność została odkryta i ujawniona przez firmę Outpost24. Pomimo braku aktywnego wsparcia producent wydał patche firmware adresujące tę oraz inne powiązane podatności w ramach advisory z dnia 2024-06-04.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HZyxel Nas326
HWZyxelwszystkie wersjeZyxel Nas326 Firmware
OSZyxel< 5.21\(aazf.17\)c0Zyxel Nas542
HWZyxelwszystkie wersjeZyxel Nas542 Firmware
OSZyxel< 5.21\(abag.14\)c0
Powiązane podatności
The pre-authentication command injection vulnerability in the Zyxel NAS326 firmware versions prior to V5.21(AA...
Multiple ZyXEL network-attached storage (NAS) devices running firmware version 5.21 contain a pre-authenticati...
Command injection w Zyxel NAS326/NAS542 — zdalne wykonanie poleceń OS
RCE w Zyxel NAS326/NAS542 — nieuwierzytelnione wykonanie kodu przez upload pliku
Command injection w parametrze setCookie urządzeń Zyxel NAS326/NAS542