Zyxel ออกอัปเดตอุดช่องโหว่ความรุนแรงสูงบนอุปกรณ์ NAS

Zyxel ออกอัปเดตอุดช่องโหว่ความรุนแรงสูงหลายตัว บนอุปกรณ์ NAS

Credit: Pavel Ignatov/ShutterStock

Zyxel ได้ประกาศออกอัปเดตแพตช์ความปลอดภัยชุดใหม่ให้กับอุปกรณ์ NAS ซึ่งพบช่องโหว่บนผลิตภัณฑ์ NAS326 ที่ใช้งานเฟิร์มแวร์เวอร์ชันก่อนหน้า V5.21(AAZF.14)C0 และผลิตภัณฑ์ NAS542 ที่ใช้งานเฟิร์มแวร์เวอร์ชันก่อนหน้า V5.21(ABAG.11)C0 ซึ่งประกอบด้วยช่องโหว่ 6 ตัว ได้แก่

  • CVE-2023-35137 (ความรุนแรง 7.5/10): ช่องโหว่ในการยืนยันตัวตนบน Authentication module ทำให้ผู้โจมตีสามารถเข้าถึงข้อมูล System information ได้ผ่านทาง URL ที่สร้างขึ้นมาเอง
  • CVE-2023-35138 (ความรุนแรง 9.8/10): ช่องโหว่ Command injection ทำให้ผู้โจมตีสามารถส่งคำสั่งในระบบปฏิบัติการได้ผ่านทาง HTTP POST request โดยที่ไม่จำเป็นต้องยืนยันตัวตน
  • CVE-2023-37927 (ความรุนแรง 8.8/10): ช่องโหว่บน CGI program ทำให้ผู้โจมตีที่ยืนยันตัวตนในระบบแล้วสามารถรันคำสั่งในระดับระบบปฏิบัติการได้
  • CVE-2023-37928 (ความรุนแรง 8.8/10): ช่องโหว่ Post-authentication command injection บน WSGI server ทำผู้โจมตีสามารถรันคำสั่งในระดับระบบปฏิบัติการได้
  • CVE-2023-4473 (ความรุนแรง 9.8/10): ช่องโหว่ Command injection บน Web server ของอุปกรณ์ ทำให้ผู้โจมตีสามารถสร้าง URL พิเศษเพื่อสั่งงานได้ที่ระดับระบบปฏิบัติการ
  • CVE-2023-4474 (ความรุนแรง 9.8/10): ช่องโหว่บน WSGI server ของอุปกรณ์ ทำให้ผู้โจมตีสามารถสร้าง URL พิเศษเพื่อสั่งงานได้ที่ระดับระบบปฏิบัติการ

ผู้ที่ใช้งานควรทำการอัปเดตทันทีเนื่องจากเป็นช่องโหว่ที่มีความรุนแรงสูง โดยผู้ใช้งาน NAS326 สามารอัปเดตไปใช้งานเวอร์ชัน V5.21(AAZF.15)C0 และผู้ใช้งาน NAS542 สามารถอัปเดตไปใช้งานเวอร์ชัน V5.21(ABAG.12)C0 เพื่ออุดช่องโหว่ได้แล้ว

ที่มา: https://www.bleepingcomputer.com/news/security/zyxel-warns-of-multiple-critical-vulnerabilities-in-nas-devices/


About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนมือใหม่ผู้หลงใหลใน Enterprise IT และซูชิ

Check Also

PROEN พร้อมให้บริการ “ZStack Cloud” ซอฟต์แวร์สร้าง Private Cloud จัดการ VM ได้อย่างมั่นใจ

แม้ว่าองค์กรมากมายจะนิยมใช้งาน Public Cloud กันอย่างแพร่หลาย แต่ก็ปฏิเสธไม่ได้ว่ายังคงมีองค์กรอีกมากที่กังวลทั้งเรื่องความเป็นส่วนตัว (Privacy) ความมั่นคงปลอดภัย (Security) หรือเรื่องความยืดหยุ่น (Flexibility) และยังคงเชื่อว่าการเลือกใช้ “Private Cloud” น่าจะตอบโจทย์สิ่งเหล่านั้นได้มากกว่าการใช้งาน Public …

1-TO-ALL Webinar: ฟรี แปลทุกภาษาได้ด้วย Zoom AI ต่างชาติต่างภาษา ก็จบปัญหาด้วย Zoom AI [8 มี.ค. 2024 – 10.30น.]

1-TO-ALL และ Zoom ขอเรียนเชิญทุกท่านเข้าร่วมงานสัมมนาออนไลน์ฟรี "1-TO-ALL Webinar: ฟรี แปลทุกภาษาได้ด้วย Zoom AI ต่างชาติต่างภาษา ก็จบปัญหาด้วย Zoom AI" ในวันที่ 8 มีนาคม 2024 เวลา 10.30น. - 12.00น. เพื่อร่วมเรียนรู้และรับชมการทดสอบใช้งานจริงของความสามารถในการแปลภาษาบน Zoom ด้วย Zoom AI ที่เปิดให้ใช้งานได้แล้วสำหรับธุรกิจองค์กรที่ใช้ Zoom ทุกแห่ง รองรับกว่า 36 ภาษาทั่วโลก พร้อมพบกับความสามารถอื่นๆ ของ Zoom ที่จะช่วยให้การประชุมงานออนไลน์มีประสิทธิภาพอย่างที่ไม่เคยเป็นมาก่อน ไม่ว่าจะเป็น Zoom AI Companion และ Zoom One ที่คุณอาจจะยังไม่เคยรู้จักหรือใช้งาน