Разработчики Zyxel исправили критическую уязвимость CVE-2020-9054, которая затрагивает несколько моделей NAS компании (работающих под управлением прошивки 5.21 и более ранних версий) и позволяет удаленно и без аутентификации выполнить произвольный код. По шкале оценки уязвимостей CSSV проблема набрала 10 баллов из 10 возможных.

Корень проблемы скрывается в файле weblogin.cgi, баг возникает из-за некорректной очистки параметра имени пользователя. То есть если username включает в себя определенные символы,  проявляется уязвимость и ее можно использовать для инъекций команд с привилегиями веб-сервера. После этого злоумышленник может использовать утилиту setuid для запуска произвольных команд с root-привилегиями.

В конечном счете, удаленный злоумышленник имеет возможность выполнить произвольный код на уязвимом устройстве Zyxel, отправив специально созданный HTTP-запрос (POST или GET). Хуже того, атакующий может вообще не иметь прямого подключения к устройству, а для атаки вынудить  жертву посетить вредоносный сайт.

Эксплоит для этой проблемы, продающийся на подпольных форумах, обнаружили известный ИБ-журналист Брайан Кребс и эксперты компании  Hold Security. Именно Кребс предупредил о проблеме специалистов Zyxel и CERT/CC. Журналист рассказывает, что интерес к эксплоиту (точные инструкции по использованию уязвимости продаются за 20 000 долларов) уже проявляют операторы вымогательского ПО,  в частности, операторы Emotet намерены включить эксплоит в состав своей малвари.

На этой неделе инженеры Zyxel выпустили исправления для четырех уязвимых устройств: NAS326, NAS520, NAS540 и NAS542.

Но десять других NAS компании тоже уязвимы перед этой проблемой, но более не поддерживаются, то есть патчей для них можно не ждать. К ним относятся NSA210, NSA220, NSA220 +, NSA221, NSA310, NSA310S, NSA320, NSA320S, NSA325 и NSA325v2. Пользователям этих устройств рекомендуют заблокировать доступ веб-интерфейсу (80/tcp и 443/tcp) и проследить за тем, чтобы NAS не был подключен к интернету.

 

1 комментарий

  1. Аватар

    Bunker

    03.03.2020 в 11:26

    Ссылки на патчи на все Zyxel NAS и firewall с этой уязвимостью выложены здесь: https://www.zyxel.com/support/remote-code-execution-vulnerability-of-NAS-products.shtml

Оставить мнение