聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
上周三,网络安全公司 Nozomi Networks 在一篇文章分析中提到,“这些漏洞带来严重风险,可导致攻击者以 root 权限在未认证的情况下实现远程代码执行,从而完全攻陷受影响设备的机密性、完整性和可用性。”
收到负责任的披露后,该公司已在如下固件版本中修复这些漏洞:
1.6.5 (适用于EKI-6333AC-2G and EKI-6333AC-2GD)
1.2.2(适用于EKI-6333AC-1GPO)
在这20个漏洞中,6个是严重级别,可导致攻击者通过植入后门的方式获得对内部资源的持久访问权限,触发拒绝服务条件,甚至将受感染端点重构为 Linux 工作站,以实现横向移动以及进一步的网络渗透。
在这6个严重漏洞中,5个(编号从CVE-2024-50370到CVE-2024-50374,CVSS评分9.8)与对操作系统命令中所使用的特殊元素中和不当有关,而CVE-2024-50375(CVSS评分9.8)与对关键函数的认证缺失有关。
值得注意的还包括XSS漏洞CVE-2024-50376(CVSS评分7.3),它可与CVE-2024-50359(CVSS评分7.2)组合利用,造成OS命令注入后果,无需认证即可实现任意代码执行。不过要成功实施攻击,外部恶意用户必须物理接近 Advantech 访问点并播报恶意访问点。
当管理员访问 web 应用中的 “WiFi Analyzer” 部分时才会触发该攻击,导致该页面自动嵌入通过由攻击者播报的信号框架的信息,而无需进行安全检查。研究人员提到,“攻击者可通过该恶意访问点播报的此类信息之一是SSID。攻击者可将 JavaScript payload 作为其恶意访问点的SSID插入,并利用CVE-2024-50376在web应用中触发 XSS漏洞。”
如此,攻击者就会在受害者的web浏览器上下文中执行任意 JavaScript 代码,之后结合使用CVE-2024-50359以root权限在OS级别实现命令注入。这可通过向威胁行动者提供持久远程访问的反向shell 实施。研究人员提到,“这将使攻击者获得对受陷设备的远程控制,执行命令,并进一步渗透网络,提取数据或部署其它恶意脚本。”
D-Link 决定不修复这个严重漏洞,影响6万多台 NAS 设备
Synology:速修复零点击RCE漏洞,影响数百万 NAS 设备
https://thehackernews.com/2024/11/over-two-dozen-flaws-identified-in.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~