Breaking News

Zyxel ออกแพตช์อุดช่องโหว่ Zero-day ให้ NAS และ Firewall เตือนผู้ใช้เร่งอัปเดต

เมื่อไม่มีกี่วันที่ผ่านมาทาง Zyxel ได้ออกแพตช์ช่องโหว่ Zero-day ให้ผลิตภัณฑ์ NAS หลายรุ่น ต่อมายังส่งผลกระทบกับ Firewall อีกถึงหลายสิบรุ่นเช่นกัน ด้วยเหตุนี้จึงแนะนำให้อัปเดต

Credit: ShutterStock.com

ช่องโหว่หมายเลข CVE-2020-9054 เกิดขึ้นบนหน้า weblogin.cgi ซึ่งไม่มีการตรวจสอบพารามิเตอร์ Username อย่างดีเพียงพอ ทำให้แฮ็กเกอร์สามารถทำการโจมตีด้วย Command Injection ได้ และประกอบกับ Setuid () เพื่อทำงานในสิทธิ์ระดับ Root โดยเพียงแค่แฮ็กเกอร์ส่งแพ็กเก็ต HTTP Request ผ่าน POST หรือ GET เข้าไปโจมตีช่องโหว่

โดยท้ายที่สุดแล้วพบบว่ากระทบกับอุปกรณ์ของ Zyxel หลายรายการดังนี้

  • NAS – NAS326, NAS520, NAS540 และ NAS542
  • Firewall – ATP100, ATP200, ATP500, ATP800, USG20-VPN, USG20W-VPN, USG40, USG40W, USG60, USG60W, USG110, USG210, USG310, USG1100, USG1900, USG2200, VPN50, VPN100, VPN300, VPN1000, ZyWALL110, ZyWALL310 และ ZyWALL1100

ด้วยเหตุนี้เองจึงแนะนำให้ผู้ใช้งานเร่งอัปเดตหรือแยกไม่ให้อุปกรณ์เข้าถึงได้ผ่านอินเทอร์เน็ต เนื่องจากพบการเร่ขายช่องโหว่ในตลาดใต้ดินแล้ว

ที่มา :  https://www.securityweek.com/over-20-zyxel-firewalls-impacted-recent-zero-day-vulnerability และ  https://www.securityweek.com/zyxel-patches-zero-day-vulnerability-network-storage-products



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Apple จับมือ Google พัฒนาระบบแจ้งเตือนความเสี่ยง COVID-19 บน iPhone และ Android

เพื่อรับมือกับ COVID-19 ที่กำลังแพร่ระบาดทั่วโลกในเวลานี้ Apple จึงได้จับมือกับ Google เพื่อพัฒนาให้ Smartphone ของตนเองนั้นสามารถแจ้งเตือนผู้ใช้งานได้หากผู้ใช้งานคนนั้นเคยมีประวัติเข้าใกล้ผู้ที่ติด COVID-19

TechTalk Webinar: Digital Workforce: The game changer now and COVID afterward โดย STelligence

TechTalkThai ขอเรียนเชิญ CIO, CTO, COO, IT Manager, ผู้จัดการในส่วนต่างๆ ของธุรกิจ, ผู้ดูแลระบบ IT, และผู้ที่สนใจทุกท่าน เข้าร่วมฟัง TechTalk Webinar ในหัวข้อเรื่อง "Digital Workforce: The game changer now and COVID afterward โดย STelligence" เพื่อร่วมรับฟังถึงทิศทางในอนาคตของโลกธุรกิจจากการมาของ Digital Workforce ที่จะเปลี่ยนวิธีการทำงานไปอย่างสิ้นเชิง พร้อมแนะนำเทคโนโลยีที่เกี่ยวข้อง ในวันศุกร์ที่ 17 เมษายน 2020 เวลา 14.00 – 15.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้