Zyxel-NAS 是指由 Zyxel Communications Corporation（合勤科技股份有限公司）开发和生产的网络附加存储（Network Attached Storage，简称 NAS）设备。NAS 是一种专门用于存储和共享文件的设备，它通过网络连接到计算机、服务器或其他设备，提供集中式的文件存储和访问功能。

2024年6月6日，深瞳漏洞实验室监测到一则Zyxel-NAS组件存在代码注入漏洞的信息，漏洞编号：CVE-2024-29974，漏洞威胁等级：严重。

V5.21(AAZF.17)C0之前的Zyxel NAS326固件版本和V5.21(ABAG.14)C0之前的NAS542固件版本中的CGI程序“file_upload-cgi"中存在远程代码执行漏洞，允许未经身份验证的攻击者上传恶意文件，执行任意代码导致服务器失陷。

目前受影响的Zyxel-NAS版本：

Zyxel NAS326 < V5.21(AAZF.17)C0
Zyxel NAS542 < V5.21(ABAG.14)C0

供应商已发布了漏洞补丁，受影响客户可以将Zyxel NAS升级到以下版本：
NAS326设备：升级到V5.21(AAZF.17)C0
NAS542设备：升级到V5.21(ABAG.14)C0

下载链接：
https://www.zyxel.com/global/en/support/download

风险资产发现

支持对Zyxel-NAS的主动检测，可批量检出业务场景中该事件的受影响资产情况，相关产品如下：

【深信服云镜YJ】 已发布资产检测方案。

https://outpost24.com/blog/zyxel-nas-critical-vulnerabilities/

https://cxsecurity.com/cveshow/CVE-2024-29974/

https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-multiple-vulnerabilities-in-nas-products-06-04-2024

深瞳漏洞实验室监测到Zyxel NAS未授权远程代码执行漏洞信息。

深瞳漏洞实验室发布漏洞通告。

点击阅读原文，及时关注并登录深信服智安全平台，可轻松查询漏洞相关解决方案。