Kritische Sicherheitslücken in Zyxel NAS-Geräten ermöglichen Fernausführung von Code

Zyxel hat Patches zur Behebung kritischer Sicherheitslücken in zwei seiner NAS-Produkte, NAS326 und NAS542, veröffentlicht. Diese Lücken ermöglichen das Einschleusen von Befehlen und die Fernausführung von Code. Beide Produkte haben das Ende ihrer Unterstützung für Sicherheitsupdates erreicht, doch Nutzern wird dringend empfohlen, diese Patches zu installieren, um optimalen Schutz zu gewährleisten.

Überblick über die Sicherheitslücken:

• CVE-2024-29972: Diese Sicherheitslücke betrifft das CGI-Programm „remote_help-cgi“ in den Zyxel NAS326 und NAS542 Geräten und könnte es einem nicht authentifizierten Angreifer ermöglichen, durch Senden einer manipulierten HTTP-POST-Anfrage Betriebssystembefehle auszuführen.
• CVE-2024-29973: Eine weitere Befehlseinschleusungslücke im Parameter „setCookie“ dieser Geräte könnte ebenfalls nicht authentifizierten Angreifern erlauben, Betriebssystembefehle auszuführen.
• CVE-2024-29974: Diese Sicherheitslücke im CGI-Programm „file_upload-cgi“ könnte es einem nicht authentifizierten Angreifer erlauben, willkürlichen Code durch Hochladen einer manipulierten Konfigurationsdatei auszuführen.
• CVE-2024-29975: Diese Sicherheitslücke betrifft das SUID-ausführbare Binary und könnte es einem lokal authentifizierten Angreifer mit Administratorrechten ermöglichen, als „root“-Benutzer Systembefehle auszuführen.
• CVE-2024-29976: Eine weitere Sicherheitslücke im Befehl „show_allsessions“ könnte es einem authentifizierten Angreifer ermöglichen, Sitzungsinformationen eines eingeloggten Administrators, einschließlich Cookies, zu erlangen.

Betroffene Versionen und Handlungsempfehlungen

Trotz des Erreichens des Endes der Unterstützungsperiode für Sicherheitsupdates hat Zyxel aufgrund der kritischen Schwere der Sicherheitslücken CVE-2024-29972, CVE-2024-29973 und CVE-2024-29974 Patches für Kunden mit erweitertem Support zur Verfügung gestellt.

• NAS326: Versionen bis einschließlich V5.21(AAZF.16)C0 – Patch verfügbar: V5.21(AAZF.17)C0
• NAS542: Versionen bis einschließlich V5.21(ABAG.13)C0 – Patch verfügbar: V5.21(ABAG.14)C0
• *Sowohl NAS326 als auch NAS542 erreichten das Ende der Unterstützung am 31. Dezember 2023.

Zyxels proaktives Handeln bei der Veröffentlichung dieser Patches nach dem Ende der Unterstützungsperiode unterstreicht die Bedeutung der Aufrechterhaltung der Sicherheit für alle Nutzer.

Nutzer der betroffenen NAS-Geräte müssen diese Patches umgehend anwenden, um ihre Systeme vor potenziellen Angriffen zu schützen.