Компания Zyxel выпустила патчи для устранения критической уязвимости, которая затрагивает несколько моделей бизнес-маршрутизаторов и потенциально позволяет неаутентифицированным злоумышленникам выполнять инъекции команд. Также Zyxel исправила почти десяток уязвимостей в других своих продуктах.
Самая опасная уязвимость из всех исправленных отслеживается под идентификатором CVE-2024-7261 и получила 9,8 балла по шкале CVSS, то есть считается критической. Проблема связана с неправильной обработкой предоставленных пользователем данных, что позволяет удаленным злоумышленникам выполнять произвольные команды в операционной системе хоста.
«Некорректная нейтрализация специальных элементов в параметре host в программе CGI в некоторых моделях точек доступа и маршрутизаторов может позволить неавторизованному злоумышленнику выполнить команды, отправив специально подготовленный cookie на уязвимое устройство», — предупреждают инженеры Zyxel.
Проблема CVE-2024-7261 затрагивает следующие устройства.
- Серия NWA: NWA50AX, NWA50AX PRO, NWA55AXE, NWA90AX, NWA90AX PRO, NWA110AX, NWA130BE, NWA210AX, NWA220AX-6E. Уязвимы все версии прошивки до 7.00, рекомендуется обновиться до 7.00 (ABYW.2) и более поздних версий.
- NWA1123-AC PRO: уязвимы все версии прошивки до 6.28, рекомендуется обновиться до 6.28 (ABHD.3) и более поздних версий.
- NWA1123ACv3, WAC500, WAC500H: уязвимы все версии прошивки до 6.70, рекомендуется обновление до 6.70 (ABVT.5) и более поздних версий.
- Серия WAC: WAC6103D-I, WAC6502D-S, WAC6503D-S, WAC6552D-S, WAC6553D-E, уязвимы все версии прошивки до 6.28, рекомендуется обновиться до 6.28 (AAXH.3) и более поздних версий.
- Серия WAX: WAX300H, WAX510D, WAX610D, WAX620D-6E, WAX630S, WAX640S-6E, WAX650S, WAX655E, уязвимы все версии прошивки 7.00, рекомендуется обновление до 7.00 (ACHF.2) и более поздних версий.
- Серия WBE: WBE530, WBE660S, уязвимы все версии прошивки до 7.00, рекомендуется обновление до 7.00 (ACLE.2) и более поздних версий.
Также Zyxel сообщает, что маршрутизаторы USG LITE 60AX под управлением V2.00(ACIP.2) тоже подвержены этой проблеме, но эта модель автоматически обновится через облако до версии V2.00(ACIP.3), в которой уже содержится патч для CVE-2024-7261.
Однако критический баг стал не единственной проблемой, которую Zyxel устранила на этой неделе. Так, производитель предупредил о семи дополнительных уязвимостях, затрагивающих некоторые серии файрволлов, включая ATP, USG-FLEX и USG FLEX 50(W)/USG20(W)-VPN:
- CVE-2024-6343 (4,9 балла по шкале CVSS): переполнение буфера в CGI, которое позволяет аутентифицированному злоумышленнику с привилегиями администратора вызвать отказ в обслуживании путем отправки специально подготовленных HTTP-запросов;
- CVE-2024-7203 (7,2 балла по шкале CVSS): инъекция команд после аутентификации, которая позволяет аутентифицированному злоумышленнику с правами администратора запускать команды, выполняя специально подготовленные команды CLI.
- CVE-2024-42057 (8,1 балла по шкале CVSS): инъекция команд в IPSec VPN, которая позволяет неаутентифицированному злоумышленнику выполнять команды путем отправки поддельного имени пользователя (атака будет успешной только в том случае, если устройство настроено на аутентификацию User-Based-PSK и имеет пользователя с именем длиной более 28 символов).
- CVE-2024-42058 (7,5 балла по шкале CVSS): разыменование нулевого указателя в некоторых версиях межсетевых экранов, которое позволяет неаутентифицированному злоумышленнику осуществлять DoS-атаки путем отправки модифицированных пакетов.
- CVE-2024-42059 (7,2 балла по шкале CVSS): инъекция команд после аутентификации, которая позволяет аутентифицированному злоумышленнику с правами администратора выполнять команды на пораженном устройстве, загрузив через FTP сжатый языковой файл.
- CVE-2024-42060 (7,2 балла по шкале CVSS): инъекция команд после аутентификации, которая позволяет аутентифицированному злоумышленнику с правами администратора выполнять команды, загрузив на уязвимое устройство модифицированный файл внутреннего пользовательского соглашения.
- CVE-2024-42061 (6,1 балла по шкале CVSS): отраженная XSS CGI dynamic_script.cgi, которая позволяет злоумышленнику обманом вынудить пользователя перейти по подготовленному URL-адресу с XSS-пейлоадом. Атакующий сможет получить информацию о браузере, если вредоносный скрипт выполнится в браузере жертвы.
Еще одна уязвимость (CVE-2024-5412,7,5 балла по шкале CVSS) была выявлена в 50 продуктах Zyxel, включая некоторое клиентское оборудование, оптоволоконные терминалы и маршрутизаторы. Проблема связана с переполнением буфера в библиотеке libclinkc и позволяет неавторизованному атакующему провести DoS-атаку путем отправки модифицированных HTTP-запросов.