Zum Inhalt springen
Einblicke für Analysten: Laden Sie noch heute Ihr Exemplar des Gartner® Hype Cycle™ for Security Operations, 2024 Reports herunter! | Bericht abrufen
Beratung

27. Juni 2024 Hinweis: Kritische Command Injection-Schwachstelle in EOL Zyxel NAS-Modellen, die von einem Botnet ausgenutzt wird [CVE-2024-29973]

Teilen Sie

27. Juni 2024
Tags:
  • Datum veröffentlicht: Juni 4, 2024
  • CVE-ID und CVSS-Score: CVE-2024-29973 (CVSS 9.8 - Kritisch)
  • Name und Beschreibung der Ausgabe: A kritische Befehlsinjektionsschwachstelle im 'setCookie'-Parameter bestimmter Zyxel NAS-Geräte, die es nicht autorisierten Angreifern erlaubt, beliebige Betriebssystembefehle über eine speziell gestaltete HTTP POST-Anfrage.
  • Vermögenswert Beschreibung: Zyxel NAS (Network Attached Storage) ist ein zentrales Dateispeichergerät, das mehreren Benutzern den Zugriff auf Daten über ein Netzwerk ermöglicht. Diese Sicherheitslücke betrifft speziell die Modelle Zyxel NAS326 und NAS542 mit Firmware-Versionen vor V5.21(AAZF.17)C0. Beachten Sie, dass es sich bei diesen beiden Produkten um End-of-Life-Produkte (EOL) handelt, für die jedoch noch ein Patch vom Hersteller erhältlich ist.
  • Auswirkungen der Schwachstelle: Bei erfolgreichem Ausnutzen der Schwachstelle könnten Angreifer die vollständige Kontrolle über die betroffenen NAS-Geräte mit Root-Rechten erlangen, wodurch sie bösartigen Code ausführen, vertrauliche Daten stehlen, Malware installieren und das kompromittierte Gerät als Dreh- und Angelpunkt für weitere Netzwerkangriffe nutzen könnten.
  • Status der Ausbeutung: 
    • A Proof-of-Concept (PoC) Exploit ist öffentlich verfügbar.
    • Obwohl diese Schwachstelle derzeit nicht in CISA KEV enthalten ist, hat sie einen hohen EPSS-Wert von 0,93664, was auf eine hohe Wahrscheinlichkeit der Ausnutzung hinweist. 
    • Seit dem 24. Juni 2024 gibt es Berichte, dass diese Sicherheitslücke aktiv von einem "Mirai-ähnliches Botnetz" laut Shadowserver.
    • Zum Zeitpunkt der Erstellung dieses Artikels, hat GreyNoise 3 IPs entdeckt entdeckt, die diesen Angriff auf seine Sensoren versuchten - 1 von ihnen ist gekennzeichnet als mit bekannten Bot-Aktivitäten in Verbindung stehend
  • Patch-Verfügbarkeit: Zyxel hat Patches für die betroffenen NAS326- und NAS542-Modelle veröffentlicht, obwohl diese Geräte im Dezember 2023 den End-of-Life (EoL)-Status erreicht haben. Es wird empfohlen, auf die Firmware-Version V5.21(AAZF.17)C0 oder höher zu aktualisieren.
  • Censys Blickwinkel: Ab dem 27. Juni 2024Censys beobachtet 1,194 gefährdete Zyxel-Geräte mit NAS326 oder NAS542. Es ist unklar, wie viele davon gepatcht bzw. verwundbar sind. Diese sind vor allem in Europa konzentriert - insbesondere in Italien (197 Hosts), Russland (166), Ungarn (149) und Deutschland (144).

 

Karte der Censys-sichtbaren Zyxel NAS326 und NAS542 Geräte ab dem 27. Juni 2024

  • Erkennung mit Censys: Die folgenden Abfragen können genutzt werden, um alle Censys-sichtbaren öffentlich zugänglichen Zyxel NAS326- und NAS542-Instanzen zu identifizieren. Beachten Sie, dass wir keinen Einblick in die Firmware-Versionen haben.
    • Censys Search query: services.software: (vendor: “Zyxel” and product: {“NAS326”, “NAS542”})
    • Censys ASM query: host.services.software: (vendor: “Zyxel” and product: {“NAS326”, “NAS542″}) or web_entity.instances.software: (vendor:”Zyxel” and product:{“NAS326”, “NAS542”})

 

Ähnlicher Inhalt

Alle ähnlichen Inhalte anzeigen
Zurück zu Ressourcen Hub
Lösungen für das Management von Angriffsflächen
Mehr erfahren