Thread: Свежая 0-day уязвимость Zyxel влияет и на брандмауэры компании
View Single Post
  #1  
Old 01-09-2025, 04:48 PM
exchangemoney's Avatar

exchangemoney exchangemoney is offline
Banned
Join Date: Jan 2023
Posts: 2
Default

Ранее на этой неделе https://xakep.ru/2020/02/26/zyxel-0day/ о критической RCE-уязвимости https://www.zyxel.com/support/remote...products.shtml. Сообщалось, что баг набрал 10 баллов из 10 возможных по шкале оценки уязвимостей CVSS, и представляет опасность для NAS компании Zyxel.
Корень проблемы скрывается в файле weblogin.cgi: баг возникает из-за некорректной очистки параметра имени пользователя. То есть если username включает в себя определенные символы, проявляется уязвимость и ее можно использовать для инъекций команд с привилегиями веб-сервера. После этого злоумышленник может использовать утилиту setuid для запуска произвольных команд с root-привилегиями.
В конечном счете, удаленный злоумышленник получает возможность выполнить произвольный код на уязвимом устройстве Zyxel, отправив специально созданный HTTP-запрос (POST или GET). Хуже того, атакующий может вообще не иметь прямого подключения к устройству, а для атаки достаточно вынудить жертву посетить вредоносный сайт.
Вчера, 26 февраля 2020 года, инженеры Zyxel обновили https://www.zyxel.com/support/remote...products.shtml, посвященный проблеме. Как оказалось, уязвимость угрожает не только NAS компании, как сообщалось ранее, но также представляет опасность для 23 UTM-, ATP- и VPN- брандмауэров с прошивками версий от ZLD V4.35 Patch 0 до ZLD V4.35 Patch 2.
В результате список уязвимых продуктов пополнили: ATP100, ATP200, ATP500, ATP800, USG20-VPN, USG20W-VPN, USG40, USG40W, USG60, USG60W, USG110, USG210, USG310, USG1100, USG1900, USG2200, VPN50, VPN50, VPN50, VPN50 , VPN300, VPN1000, ZyWALL110, ZyWALL310 и ZyWALL1100. Патчи для них уже выпущены.
Также инженеры Zyxel уже выпустили исправления для четырех уязвимых NAS: NAS326, NAS520, NAS540 и NAS542. Однако десять других NAS компании тоже уязвимы перед проблемой, но более не поддерживаются, а значит, патчей для них можно не ждать. К ним относятся NSA210, NSA220, NSA220 +, NSA221, NSA310, NSA310S, NSA320, NSA320S, NSA325 и NSA325v2. Пользователям этих устройств рекомендуют заблокировать доступ веб-интерфейсу (80/tcp и 443/tcp) и проследить за тем, чтобы NAS не был подключен к интернету.
Напомню, что, по информации известного ИБ-журналиста Брайана Кребса, точные инструкции по использованию уязвимости уже продаются в даркнете по цене 20 000 долларов. Эти эксплоитом уже заинтересовались операторы вымогательского ПО, в частности, операторы Emotet намерены включить эксплоит в состав своей малвари.