Avis

27 juin 2024 Avis : Vulnérabilité critique d'injection de commande dans les modèles de NAS Zyxel en fin de vie exploitée par un botnet [CVE-2024-29973].

27 juin 2024

Tags :

Date de publication : 4 juin 2024
CVE-ID et score CVSS : CVE-2024-29973 (CVSS 9.8 - Critique)
Nom et description de la question : A vulnérabilité critique d'injection de commande existe dans le paramètre 'setCookie' de certains périphériques Zyxel NAS qui permet à des attaquants distants non authentifiés d'exécuter des commandes arbitraires du système d'exploitation par le biais d'une requête HTTP POST spécialement élaborée.
Description de l'actif: Zyxel NAS (Network Attached Storage) est un dispositif de stockage de fichiers centralisé permettant à plusieurs utilisateurs d'accéder aux données sur un réseau. Cette vulnérabilité affecte spécifiquement les modèles Zyxel NAS326 et NAS542 avec des versions de firmware antérieures à V5.21(AAZF.17)C0. Notez qu'il s'agit de produits en fin de vie, mais qu'un correctif est toujours disponible auprès du fournisseur.
Impact de la vulnérabilité: Si la vulnérabilité est exploitée avec succès, les attaquants peuvent prendre le contrôle total des périphériques NAS concernés avec les privilèges de la racine, ce qui leur permet d'exécuter du code malveillant, de voler des données sensibles, d'installer des logiciels malveillants et d'utiliser le périphérique compromis comme point de pivot pour d'autres attaques réseau.
Statut d'exploitation :
- A preuve de concept (PoC) est disponible publiquement.
- Bien qu'elle ne figure pas actuellement dans la liste CISA KEV, cette vulnérabilité a un score EPSS élevé de 0,93664, ce qui indique une forte probabilité d'exploitation.
- En date du 24 juin 2024, des rapports signalent que cette vulnérabilité est activement exploitée par un "botnet de type Mirai" selon Shadowserver.
- Au moment où nous écrivons ces lignes, GreyNoise a détecté 3 IP tentant cet exploit contre ses capteurs - 1 d'entre elles a été étiquetée comme étant associée à une activité de bot connue
Disponibilité des correctifs : Zyxel a publié des correctifs pour les modèles NAS326 et NAS542 concernés, bien que ces appareils aient atteint le statut de fin de vie (EoL) en décembre 2023. Il est recommandé aux utilisateurs de mettre à jour la version du micrologiciel V5.21(AAZF.17)C0 ou une version ultérieure.
Censys Perspective: A partir du 27 juin 2024Censys a observé 1,194 dispositifs Zyxel exposés fonctionnant avec NAS326 ou NAS542. On ne sait pas exactement combien d'entre eux sont corrigés ou vulnérables. Ces dispositifs sont principalement concentrés en Europe - en particulier en Italie (197 hôtes), en Russie (166), en Hongrie (149) et en Allemagne (144).

Carte des dispositifs Zyxel NAS326 et NAS542 visibles sur Censys à partir du 27 juin 2024

Détection avec Censys: Les requêtes suivantes peuvent être utilisées pour identifier toutes les instances Zyxel NAS326 et NAS542 visibles par le public sur Censys. Notez que nous n'avons pas de visibilité sur les versions de firmware.
- Censys Search query: services.software: (vendor: “Zyxel” and product: {“NAS326”, “NAS542”})
- Censys ASM query: host.services.software: (vendor: “Zyxel” and product: {“NAS326”, “NAS542″}) or web_entity.instances.software: (vendor:”Zyxel” and product:{“NAS326”, “NAS542”})