Zyxel закрыла критические уязвимости в устаревших NAS326 и NAS542
Главная » Новости

Zyxel закрыла критические уязвимости в устаревших NAS326 и NAS542

Татьяна Никитина 05 Июня 2024 - 16:53
...
Zyxel закрыла критические уязвимости в устаревших NAS326 и NAS542

Компания Zyxel Networks выпустила обновления прошивки для отслуживших свое NAS-устройств, в которых объявились три критические уязвимости. Патчи доступны корпоративным пользователям в рамках расширенной поддержки.

Угроза эксплойта актуальна для NAS326 с прошивкой версий 5.21(AAZF.16)C0 и ниже, а также NAS542 с прошивкой v5.21(ABAG.13)C0 и ниже. В обоих случаях гарантийный срок службы (с латанием дыр) истек 31 декабря 2023 года.

Краткая характеристика уязвимостей, согласно бюллетеню вендора:

  • CVE-2024-29972 — возможность внедрения команд при выполнении сценария remote_help-cgi; эксплойт не требует аутентификации и проводится с помощью вредоносного запроса HTTP POST;
  • CVE-2024-29973 — возможность инъекции команд с использованием параметра setCookie; эксплойт не требует аутентификации и осуществляется подачей запроса HTTP POST;
  • CVE-2024-29974 — возможность удаленного исполнения стороннего кода при отработке скрипта file_upload-cgi; эксплойт не требует аутентификации и проводится через загрузку специально созданного конфигурационного файла.

Исследователи из шведской ИБ-компании Outpost24 обнаружили в NAS-устройствах указанных моделей еще две уязвимости. Обе позволяют повысить привилегии в системе и, по мнению Zyxel, менее опасны, поэтому патчить их не стали.

Проблема CVE-2024-29975 возникла из-за небрежно написанного SUID-сценария. В результате возникла возможность локально повысить админ-привилегии до root.

Уязвимость CVE-2024-29976 проявляется при выполнении команды show_allsessions и позволяет после аутентификации получить сессионные куки совершившего вход админа.

В прошлом году Zyxel тоже латала NAS326 и NAS542. Продукты на тот момент не были сняты с довольствия, и в них в плановом порядке закрыли еще одну возможность инъекции команд — CVE-2023-27992.

Следующая главная новость »
AM LiveКак эффективно защититься от шифровальщиков? Расскажем на AM Live - переходите по ссылке, чтобы узнать подробности

Mamont возвращается: обновлённый Android-троян готовится к массовым атакам
Яков Шпунт 08 Декабря 2025 - 09:05
Android Трояны Домашние пользователи Angara Security
Mamont возвращается: обновлённый Android-троян готовится к массовым атакам

Отдел реагирования и цифровой криминалистики Angara MTDR завершил анализ новой версии вредоносных приложений для Android семейства Mamont, которые злоумышленники продолжают распространять под видом вложенных фотографий в объявлениях о продаже домашних вещей. Обновлённые варианты Mamont получили расширенную функциональность, направленную на кражу персональных данных.

Руководитель направления обратной разработки Angara MTDR Александр Гантимуров опубликовал результаты исследования новых модификаций зловреда в корпоративном блоге на платформе Habr.

Исследованные образцы представлены двумя разновидностями APK-файлов размером около 10 Мбайт, различающимися лишь незначительными деталями.

Как правило, такие приложения содержат в названии файла слово «фото» или photo. Они распространяются через мессенджеры и чаще всего прикрепляются к объявлениям о продаже домашних вещей, связанных с переездом. Ранее злоумышленники также использовали маскировку APK под изображения и видеоролики.

Вредонос предназначен для скрытого получения и отправки сообщений, сбора информации об устройстве, отправки USSD-команд, просмотра уведомлений и открытия произвольных веб-адресов. При запуске он запрашивает доступ к отправке и приёму СМС, к телефонным вызовам и камере.

После получения всех необходимых разрешений зловред открывает фишинговый ресурс, замаскированный под сервис хранения изображений. Его цель — сбор пользовательских данных. Однако в исследуемых версиях функции передачи информации с устройства реализованы лишь частично.

Связь с управляющим сервером осуществляется через клиент retrofit2, а данные передаются в формате JSON. В программный интерфейс внедрён механизм uploadVerificationData, который пока не активирован. Анализ кода показывает, что злоумышленники планируют расширить набор отправляемых данных, включая персональные сведения — вплоть до номеров документов.

По мнению Александра Гантимурова, это указывает на планы дальнейшего наращивания функциональности зловреда и расширения атак, в том числе с использованием данных, собранных с заражённых устройств. Всё это может свидетельствовать о подготовке масштабной кампании по массовому сбору и эксплуатации персональных данных.

AM LiveКак эффективно защититься от шифровальщиков? Расскажем на AM Live - переходите по ссылке, чтобы узнать подробности
Indeed AM 9.3 получила автоустановку и поддержку FreeIPA
Новость
Indeed AM 9.3 получила автоустановку и поддержку FreeIPA
МАХ стал доступен на устройствах под ОС Аврора
Новость
МАХ стал доступен на устройствах под ОС Аврора
В даркнете растет спрос на аренду аккаунтов MAX
Новость
В даркнете растет спрос на аренду аккаунтов MAX

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.