Zyxel komt met noodpatch voor kritiek lek in end-of-life NAS-systemen

[Captain Kirk]

Zyxel heeft een noodpatch uitgebracht voor verschillende kritieke kwetsbaarheden in twee NAS-systemen die niet meer worden ondersteund en waardoor een aanvaller de apparaten op afstand kan overnemen. Volgens de onderzoekers die de beveiligingslekken ontdekten en rapporteerden gaat het onder andere om een backdoor-account dat in de NAS-systemen aanwezig is.

De twee kwetsbare NAS-systemen betreffen de NAS326 en NAS542, die beide sinds 31 december vorig jaar niet meer door Zyxel worden ondersteund. Onderzoekers van securitybedrijf Outpost24 ontdekten vijf kwetsbaarheden in de NAS-apparaten, die op 14 maart aan Zyxel werden gerapporteerd en nu zijn verholpen. Het gaat om drie beveiligingslekken waardoor een ongeauthenticeerde aanvaller op afstand commando's of code op het apparaat kan uitvoeren.

De overige twee kwetsbaarheden laten een aanvaller zijn rechten verhogen tot die van root of admin. Een van de gevonden beveiligingslekken, aangeduid als CVE-2024-29972, betreft volgens de onderzoekers een backdoor-account. Dat is door een aanvaller op afstand in te schakelen. Het voor dit account gebruikte wachtwoord is wel voor elk NAS-systeem uniek, maar aan de hand van het MAC-adres af te leiden. Via een andere kwetsbaarheid kan een aanvaller dit MAC-adres achterhalen en zo met het backdoor-account toegang krijgen tot het NAS-systeem. Zyxel roept gebruikers op om de beschikbaar gestelde firmware-updates te installeren.

 

bron: https://www.security.nl