Разработчики Zyxel исправили критическую уязвимость CVE-2020-9054, которая затрагивает несколько моделей NAS компании (работающих под управлением прошивки 5.21 и более ранних версий) и позволяет удаленно и без аутентификации выполнить произвольный код. По шкале оценки уязвимостей CSSV проблема набрала 10 баллов из 10 возможных.
Корень проблемы скрывается в файле weblogin.cgi, баг возникает из-за некорректной очистки параметра имени пользователя. То есть если username включает в себя определенные символы, проявляется уязвимость и ее можно использовать для инъекций команд с привилегиями веб-сервера. После этого злоумышленник может использовать утилиту setuid для запуска произвольных команд с root-привилегиями.
В конечном счете, удаленный злоумышленник имеет возможность выполнить произвольный код на уязвимом устройстве Zyxel, отправив специально созданный HTTP-запрос (POST или GET). Хуже того, атакующий может вообще не иметь прямого подключения к устройству, а для атаки вынудить жертву посетить вредоносный сайт.
Эксплоит для этой проблемы, продающийся на подпольных форумах, обнаружили известный ИБ-журналист Брайан Кребс и эксперты компании Hold Security. Именно Кребс предупредил о проблеме специалистов Zyxel и CERT/CC. Журналист рассказывает, что интерес к эксплоиту (точные инструкции по использованию уязвимости продаются за 20 000 долларов) уже проявляют операторы вымогательского ПО, в частности, операторы Emotet намерены включить эксплоит в состав своей малвари.
На этой неделе инженеры Zyxel выпустили исправления для четырех уязвимых устройств: NAS326, NAS520, NAS540 и NAS542.
Но десять других NAS компании тоже уязвимы перед этой проблемой, но более не поддерживаются, то есть патчей для них можно не ждать. К ним относятся NSA210, NSA220, NSA220 +, NSA221, NSA310, NSA310S, NSA320, NSA320S, NSA325 и NSA325v2. Пользователям этих устройств рекомендуют заблокировать доступ веб-интерфейсу (80/tcp и 443/tcp) и проследить за тем, чтобы NAS не был подключен к интернету.