Разработчики Zyxel исправили критическую уязвимость CVE-2020-9054, которая затрагивает несколько моделей NAS компании (работающих под управлением прошивки 5.21 и более ранних версий) и позволяет удаленно и без аутентификации выполнить произвольный код. По шкале оценки уязвимостей CSSV проблема набрала 10 баллов из 10 возможных.

Корень проблемы скрывается в файле weblogin.cgi, баг возникает из-за некорректной очистки параметра имени пользователя. То есть если username включает в себя определенные символы,  проявляется уязвимость и ее можно использовать для инъекций команд с привилегиями веб-сервера. После этого злоумышленник может использовать утилиту setuid для запуска произвольных команд с root-привилегиями.

В конечном счете, удаленный злоумышленник имеет возможность выполнить произвольный код на уязвимом устройстве Zyxel, отправив специально созданный HTTP-запрос (POST или GET). Хуже того, атакующий может вообще не иметь прямого подключения к устройству, а для атаки вынудить  жертву посетить вредоносный сайт.

Эксплоит для этой проблемы, продающийся на подпольных форумах, обнаружили известный ИБ-журналист Брайан Кребс и эксперты компании  Hold Security. Именно Кребс предупредил о проблеме специалистов Zyxel и CERT/CC. Журналист рассказывает, что интерес к эксплоиту (точные инструкции по использованию уязвимости продаются за 20 000 долларов) уже проявляют операторы вымогательского ПО,  в частности, операторы Emotet намерены включить эксплоит в состав своей малвари.

На этой неделе инженеры Zyxel выпустили исправления для четырех уязвимых устройств: NAS326, NAS520, NAS540 и NAS542.

Но десять других NAS компании тоже уязвимы перед этой проблемой, но более не поддерживаются, то есть патчей для них можно не ждать. К ним относятся NSA210, NSA220, NSA220 +, NSA221, NSA310, NSA310S, NSA320, NSA320S, NSA325 и NSA325v2. Пользователям этих устройств рекомендуют заблокировать доступ веб-интерфейсу (80/tcp и 443/tcp) и проследить за тем, чтобы NAS не был подключен к интернету.

 

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    1 Комментарий
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии