December 2, 2022

Zyxel แพ็ตช์ช่องโหว่ RCE ร้ายแรงบนอุปกรณ์ NAS ของตัวเองแล้ว

ผู้ผลิตอุปกรณ์เน็ตเวิร์ก Zyxel ได้ปล่อยแพ็ตช์สำหรับแก้ไขช่องโหว่ร้ายแรงระดับวิกฤติที่กระทบกับอุปกรณ์สตอเรจที่เชื่อมต่อเครือข่าย (NAS) ของตัวเอง เป็นช่องโหว่ที่เกี่ยวกับ Format String ภายใต้รหัส CVE-2022-34747 (CVSS score: 9.8)

พบช่องโหว่นี้บน NAS ทั้งรุ่น NAS326, NAS540, และ NAS542 โดยทาง Zyxel ให้เครดิตนักวิจัยชื่อ Shaposhnikov Ilya ว่าเป็นผู้รายงานช่องโหว่เหล่านี้ ซึ่งเมื่อวันจันทร์ที่ผ่านมา ทางบริษัทได้ออกคำแนะนำด้านความปลอดภัยระบุว่า

“ช่องโหว่ตัว Format String นี้พบบนโค้ดไบนารีบางส่วนของผลิตภัณฑ์ Zyxel NAS ที่เปิดให้ผู้โจมตีสามารถรันโค้ดอันตรายได้จากระยะไกลโดยไม่ต้องยืนยันตัวตน โดยทำผ่านแพ็กเก็ต UDP” เวอร์ชั่นที่มีช่องโหว่ได้แก่ V5.21 C0 หรือเก่ากว่า

ช่องโหว่ก่อนหน้านี้ของ Zyxel ได้แก่ช่องโหว่ที่เปิดให้ยกระดับสิทธิ์ใช้งานภายในอุปกรณ์ และช่องโหว่ที่เปิดให้เข้าถึงไดเรกทอรีต่างๆ บนระบบ (Directory Traversal) ได้ อันได้แก่รหัส CVE-2022-30526 และ CVE-2022-2030 ที่เผยออกมาเมื่อกรกฎาคมปีนี้

อ่านเพิ่มเติมที่นี่ – THN