Your browser either does not support JavaScript or you have turned JavaScript off.

Zyxel security advisory for the remote code execution vulnerability of NAS and firewall products

CVE: CVE-2020-9054


สรุป

ผลิตภัณฑ์ Zyxel NAS (Network Attached Storage) และ firewall ได้รับผลกระทบจากช่องโหว่การสั่งให้โค้ดทำงานจากระยะไกล แนะนำให้ผู้ใช้งานทำการติดตั้งแพทช์เฟิร์มแวร์ หรือทำตามวิธีการแก้ปัญหาทันทีเพื่อการปกป้องอย่างต่อเนื่อง


ช่องโหว่คืออะไร?

ช่องโหว่การสั่งให้โค้ดทำงานจากระยะไกลถูกตรวจพบในโปรแกรม weblogin.cgi ที่อยู่ในอุปกรณ์ Zyxel NAS และ Firewall ระบบการตรวจสอบสิทธิ์ที่บกพร่องทำให้ผู้ไม่ประสงค์ดีสามารถสั่งการให้โค้ดทำงานจากการแทรกคำสั่ง OS ได้


ผลิตภัณฑ์ใดได้รับผลกระทบบ้าง และแก้ไขอย่างไร?

จากการตรวจสอบอย่างเข้มงวดในทุกผลิตภัณฑ์ เราพบช่องโหว่ในผลิตภัณฑ์ที่ใช้เฟิร์มแวร์บางเวอร์ชั่น ได้แก่

ผลิตภัณฑ์ NAS ที่ใช้เฟิร์มแวร์ 5.21 หรือเก่ากว่า

ผลิตภัณฑ์ UTM, ATP และ VPN Firewall ที่ใช้เฟิร์มแวร์เวอร์ชั่ ZLD V4.35 Patch 0 จนถึง ZLD V4.35 Patch 2 เฟิร์มแวร์เวอชั่นเก่ากว่า ZLD V4.35 Patch 0 ไม่ได้รับผลกระทบ

เราตรวจพบผลิตภัณฑ์ที่ได้รับผลกระทบที่ยังอยู่ในระยะเวลาการรับประกันและการสนับสนุนหลังการขายดังที่แสดงในตารางด้านล่างนี้ เพื่อการปกป้องที่ต่อเนื่อง เราแนะนำให้ท่านติดตั้งแพทช์เฟิร์มแวร์ทันที

 

รุ่นที่ได้รับผลประทบ เฟิร์มแวร์เวอร์ชั่น
NAS326 พร้อมให้ดาวน์โหลด เฟิร์มแวร์ V5.21(AAZF.7)C0
NAS520 พร้อมให้ดาวน์โหลด เฟิร์มแวร์ V5.21(AASZ.3)C0
NAS540 พร้อมให้ดาวน์โหลด เฟิร์มแวร์ V5.21(AATB.4)C0
NAS542 พร้อมให้ดาวน์โหลด เฟิร์มแวร์ V5.21(ABAG.4)C0
ATP100 พร้อมให้ดาวน์โหลด เฟิร์มแวร์ V4.35(ABPS.3)C0
ATP200 พร้อมให้ดาวน์โหลด เฟิร์มแวร์ V4.35(ABFW.3)C0
ATP500 พร้อมให้ดาวน์โหลด เฟิร์มแวร์ V4.35(ABFU.3)C0
ATP800 พร้อมให้ดาวน์โหลด เฟิร์มแวร์ V4.35(ABIQ.3)C0
USG20-VPN พร้อมให้ดาวน์โหลด เฟิร์มแวร์ V4.35(ABAQ.3)C0
USG20W-VPN พร้อมให้ดาวน์โหลด เฟิร์มแวร์ V4.35(ABAR.3)C0
USG40 พร้อมให้ดาวน์โหลด เฟิร์มแวร์ V4.35(AALA.3)C0
USG40W พร้อมให้ดาวน์โหลด เฟิร์มแวร์ V4.35(AALB.3)C0
USG60 พร้อมให้ดาวน์โหลด เฟิร์มแวร์ V4.35(AAKY.3)C0
USG60W พร้อมให้ดาวน์โหลด เฟิร์มแวร์ V4.35(AAKZ.3)C0
USG110 พร้อมให้ดาวน์โหลด เฟิร์มแวร์ V4.35(AAPH.3)C0
USG210 พร้อมให้ดาวน์โหลด เฟิร์มแวร์ V4.35(AAPI.3)C0
USG310 พร้อมให้ดาวน์โหลด เฟิร์มแวร์ V4.35(AAPJ.3)C0
USG1100 พร้อมให้ดาวน์โหลด เฟิร์มแวร์ V4.35(AAPK.3)C0
USG1900 พร้อมให้ดาวน์โหลด เฟิร์มแวร์ V4.35(AAPL.3)C0
USG2200 พร้อมให้ดาวน์โหลด เฟิร์มแวร์ V4.35(ABAE.3)C0
VPN50 พร้อมให้ดาวน์โหลด เฟิร์มแวร์ V4.35(ABHL.3)C0
VPN100 พร้อมให้ดาวน์โหลด เฟิร์มแวร์ V4.35(ABFV.3)C0
VPN300 พร้อมให้ดาวน์โหลด เฟิร์มแวร์ V4.35(ABFC.3)C0
VPN1000 พร้อมให้ดาวน์โหลด เฟิร์มแวร์ V4.35(ABIP.3)C0
ZyWALL110 พร้อมให้ดาวน์โหลด เฟิร์มแวร์ V4.35(AAAA.3)C0
ZyWALL310 พร้อมให้ดาวน์โหลด เฟิร์มแวร์ V4.35(AAAB.3)C0
ZyWALL1100 พร้อมให้ดาวน์โหลด เฟิร์มแวร์ V4.35(AAAC.3)C0

หมายเหตุ: หากท่านมีข้อสงสัยในการติดตั้งเฟิร์มแวร์ กรุณาเยี่ยมชมฟอรั่มที่ https://homeforum.zyxel.com/ สำหรับผลิตภัณฑ์ และ https://businessforum.zyxel.com/categories/security สำหรับผลิตภัณฑ์ Firewall

สำหรับผลิตภัณฑ์ NAS ที่ได้สิ้นสุดระยะเวลาการสนับสนุนหลังการขายแล้วในปี 2016 หรือก่อนหน้า จะไม่มีการอัพเดทเฟิร์มแวร์ เราแนะนำให้ท่านปฏิบัติตามขั้นตอนการแก้ปัญหาตามรายละเอียดด้านล่างนี้โดยทันที

 

ผลิตภัณฑ์ที่สิ้นสุดระยะเวลาการสนับสนุนแล้วที่ได้รับผลกระทบ การแก้ปัญหา
NSA210, NSA220, NSA220+, NSA221, NSA310, NSA310S, NSA320, NSA320S, NSA325 and NSA325v2 ห้ามใช้ผลิตภัณฑ์โดยไม่มีการป้องกันผ่านอินเตอร์เน็ต หากเป็นไปได้ ให้เชื่อมต่อกับเราเตอร์รักษาความปลอดภัยหรือ Firewall เพื่อการปกป้องที่ดีกว่า

มีข้อสงสัยหรือคำแนะนำ?

กรุณาติดต่อตัวแทนไซเซลสำหรับข้อมูลเพิ่มเติมหรือขอความช่วยเหลือ หากคุณพบช่องโหว่เพิ่มเติม เรายินดีช่วยเหลือคุณเพื่อแก้ปัญหา กรุณาติดต่อ security@zyxel.com.tw เราจะติดต่อกลับโดยเร็วที่สุด


ข้อมูลเพิ่มเติม

ขอขอบคุณ Brian Krebs นักข่าวอิสระ ผู้รายงานปัญหาถึงเราและ CERT/CC เพื่อการประชาสัมพันธ์

บันทึกการแก้ไข

2020-02-24: ประกาศครั้งแรก
2020-02-26: เพิ่มผลิตภัณฑ์ Firewall ในรายการผลิตภันฑ์ที่ได้รับผลกระทบ
2020-02-27: เพิ่มคำแนะนำเกี่ยวกับติดตั้ง hotfix และเฟิร์มแวร์
2020-03-04: อัพเดทลิงค์ดาวน์โหลดเฟิร์มแวร์สำหรับผลิตภัณธ์ Firewall
2020-03-06: อัพเดทลิงค์ดาวน์โหลดเฟิร์มแวร์สำหรับผลิตภัณฑ์ NAS และลบ hotfix