Zyxel แก้ไขช่องโหว่ OS Command Injection ระดับ Critical ใน Access Point และ Router

Zyxel ออกแพตซ์อัปเดตซอฟต์แวร์เพื่อแก้ไขช่องโหว่ด้านความปลอดภัยระดับ Critical ที่ส่งผลกระทบต่อ Access point (AP) และเราเตอร์บางรุ่น โดยช่องโหว่นี้อาจนำไปสู่การเรียกใช้คำสั่งที่ไม่ได้รับอนุญาตได้

ช่องโหว่นี้มีหมายเลข CVE-2024-7261 (คะแนน CVSS: 9.8) โดยเป็นช่องโหว่ OS command injection

Zyxel ระบุว่า "การวางองค์ประกอบพิเศษที่ไม่เหมาะสมในพารามิเตอร์ 'host' ใน CGI program ของ AP และเราเตอร์บางรุ่น อาจทำให้ผู้โจมตีที่ไม่จำเป็นต้องผ่านการยืนยันตัวตน สามารถรันคำสั่งบน OS โดยการส่ง cookie ที่สร้างขึ้นมาเป็นพิเศษไปยังอุปกรณ์ที่มีช่องโหว่"

Chengchao Ai จากทีม ROIS ของมหาวิทยาลัย Fuzhou ได้รับเครดิตว่าเป็นผู้ค้นพบ และรายงานช่องโหว่ดังกล่าว

นอกจากนี้ Zyxel ยังได้ออกแพตซ์อัปเดตสำหรับช่องโหว่ 8 รายการใน routers และ firewalls ซึ่งรวมถึงช่องโหว่บางรายการที่มีระดับความรุนแรงสูง ที่อาจส่งผลให้มีการเรียกใช้คำสั่งในระบบปฏิบัติการ (OS), ทำให้เกิดการโจมตีแบบ denial-of-service (DoS) หรือการเข้าถึงข้อมูลผ่านเบราว์เซอร์ได้ โดยมีรายละเอียดของช่องโหว่ดังนี้

  • CVE-2024-5412 (คะแนน CVSS: 7.5) - ช่องโหว่ประเภท buffer overflow ในไลบรารี "libclinkc" ที่ทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนสามารถทำให้เกิดการโจมตีแบบ DoS ได้ โดยใช้ HTTP request ที่ถูกสร้างขึ้นมาโดยเฉพาะ
  • CVE-2024-6343 (คะแนน CVSS: 4.9) - ช่องโหว่ประเภท buffer overflow ที่ทำให้ผู้โจมตีที่ผ่านการยืนยันตัวตน และมีสิทธิ์ผู้ดูแลระบบสามารถทำให้เกิดการโจมตีแบบ DoS ได้ โดยใช้ HTTP request ที่ถูกสร้างขึ้นมาโดยเฉพาะ
  • CVE-2024-7203 (คะแนน CVSS: 7.2) - ช่องโหว่ post-authentication command injection ที่ทำให้ผู้โจมตีที่ผ่านการยืนยันตัวตน และมีสิทธิ์ผู้ดูแลระบบสามารถเรียกใช้คำสั่งในระบบปฏิบัติการ (OS) ได้
  • CVE-2024-42057 (คะแนน CVSS: 8.1) - ช่องโหว่ command injection ในฟีเจอร์ IPSec VPN ที่ทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนสามารถเรียกใช้คำสั่งบางอย่างในระบบปฏิบัติการ (OS) ได้
  • CVE-2024-42058 (คะแนน CVSS: 7.5) - ช่องโหว่ null pointer dereference ที่ทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนสามารถทำให้เกิดการโจมตีแบบ DoS โดยการส่งแพ็กเก็ตที่ถูกสร้างขึ้นมาโดยเฉพาะ
  • CVE-2024-42059 (คะแนน CVSS: 7.2) - ช่องโหว่ post-authentication command injection ที่ทำให้ผู้โจมตีที่ผ่านการยืนยันตัวตน และมีสิทธิ์ผู้ดูแลระบบสามารถเรียกใช้คำสั่งในระบบปฏิบัติการ (OS) ได้ โดยการอัปโหลดไฟล์ภาษาที่ถูกบีบอัด และสร้างขึ้นมาโดยเฉพาะผ่าน FTP
  • CVE-2024-42060 (คะแนน CVSS: 7.2) - ช่องโหว่ post-authentication command injection ใน firewall บางรุ่น ที่ทำให้ผู้โจมตีที่ผ่านการยืนยันตัวตน และมีสิทธิ์ผู้ดูแลระบบสามารถเรียกใช้คำสั่งในระบบปฏิบัติการ (OS) ได้
  • CVE-2024-42061 (คะแนน CVSS: 6.1) - ช่องโหว่แบบ cross-site scripting (XSS) ใน CGI program "dynamic_script.cgi" ที่ทำให้ผู้โจมตีสามารถหลอกให้ผู้ใช้เข้าชม URL ที่ถูกสร้างขึ้นมาโดยเฉพาะพร้อมกับ XSS payload และขโมยข้อมูลที่อยู่ในเบราว์เซอร์ได้

การอัปเดตดังกล่าวเกิดขึ้นหลังจากที่ D-Link เปิดเผยว่ามีช่องโหว่ด้านความปลอดภัย 4 รายการที่ส่งผลกระทบต่อ Router รุ่น DIR-846 รวมถึงช่องโหว่การเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลที่มีระดับความรุนแรงสูง 2 รายการ (CVE-2024-44342 คะแนน CVSS: 9.8) ที่ยังไม่ได้รับการแก้ไข เนื่องจากผลิตภัณฑ์เหล่านี้ได้หมดอายุการ Support (EoL) ไปตั้งแต่เดือนกุมภาพันธ์ 2020 แล้ว พร้อมทั้งแนะนำให้ลูกค้าทำการเปลี่ยนเป็นรุ่นที่ยังได้รับการ Support อยู่

ที่มา : thehackernews