刚刚，合勤科技发布NAS新固件，修复严重的RCE漏洞

今天，网络设备厂商合勤科技 (Zyxel) 提醒客户称，其NAS产品的三个机型受一个严重的远程代码执行漏洞影响。

该漏洞的编号为CVE-2022-34747，CVSS v3评分为9.8，是一个“严重”级别的漏洞，不过披露的详情不是很多。

合勤科技发布安全公告表示，“合勤科技NAS产品中的某个特定二进制中存在一个格式字符串漏洞，可导致攻击者通过构造的UDP数据包实现越权远程代码执行。”

安全研究员 Shaposhnikov Ilya 在2022年6月发现了该漏洞，合勤科技在接下来的几个月内陆续发布了对受影响机型的安全更新。

受影响的NAS设备包括NAS326、NAS540和NAS542，这些机型目前仍然受支持。

易受攻击的固件版本是V5.21(AAZF.11)Co 及更早版本 (NAS542)、V5.21(AATB.8)Co及更早版本 (NAS540)以及V5.21(AATB.8)Co或更早版本 (NAS542)。

合勤科技已经以固件更新的方式为受影响设备发布了安全更新，并提供了下载链接。或者用户也可访问合勤科技的官方下载门户，输入设备机型并下载结果中所列出的最新固件更新。

远程代码执行漏洞可导致多种不同攻击后果，如绕过用户验证要求、提权或任意其它限制前提条件。该漏洞可被滥用于窃取数据、删除数据或在暴露在互联网上的NAS设备上部署勒索软件。

虽然所有场景都具有巨大危害，但勒索软件是最常见的一种情况，因为它是威胁行动者让攻击活动变现的最佳方式。

上周末，QNAP修复了一个已遭 DeadBolt勒索攻击活动利用的0day。2月份，该勒索组织还通过利用某0day攻击ASUSTOR设备。因此，DeadBolt组织完全有能力找到未记录的安全差距，更不用说利用已知漏洞了。

活跃利用NAS设备的其它勒索团伙是Checkmate、eChoraix组织，它们在2022年非常活跃。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。