近期,網絡產品供應商Zyxel修復了幾款NAS設備的關鍵漏洞,早先該漏洞已在公網上被利用。
目前這個漏洞被標記為CVE-2020-9054,是一個嚴重的遠程代碼執行漏洞,會影響多款NAS設備。而且該漏洞可被未經身份驗證的攻擊者所利用,主要和weblogin.cgi這個CGI文件有關(在處理用戶輸入時安全過濾不到位)。
攻擊者可以在傳遞給該可執行文件的用戶名中包含某些特殊字符來觸發漏洞,以webserver的權限實現命令注入。
根據CERT/CC的公告,多款ZyXEL品牌的NAS設備包含一個無需認證的命令注入漏洞,遠程且未經認證的攻擊者可針對一個存在漏洞的設備進行攻擊。
專家還表示,ZyXEL的NAS設備包括一個setuid應用,可以以root權限執行任何命令。
CERT/CC的專家警告說,攻擊者可以遠程利用這個漏洞。為此他們創建了一個PoC檢測網站,可對ZyXEL設備進行掃描(網頁源碼有poc細節)。
據著名調查人員Brian Krebs的說法,在地下論壇中,一個可被使用的PoC正以2萬美元的價格出售。Krebs已將他的發現與供應商、DHS專家和CERT/CC進行了分享。
Zyxel在發表的報告中表示,Zyxel NAS產品受到遠程代碼執行漏洞的影響,建議用戶立即安裝補丁或遵循官方解決方案,以獲得最佳保護。
“固件版本5.21及更早的Zyxel NAS產品的weblogin.cgi文件存在一個遠程代碼執行漏洞。未經身份驗證的攻擊者可以遠程執行代碼。”
攻擊者可以通過發送一個特製的HTTP POST或GET請求來利用該漏洞。如果攻擊者不能直接連接到目標設備,也可通過欺騙受害者訪問惡意網站的形式(類似於CSRF)攻擊目標設備。
Krebs表示,這個漏洞之所以引人注目,是因為它吸引了大規模進行勒索軟件攻擊的組織的興趣。最近的網絡活動表明,這些進行勒索攻擊的組織一直都很活躍,想以此感染更多設備。具體來說,這和一個名為Emotet的惡意軟件有關。
Zyxel已經發布了NAS326、NAS520、NAS540和NAS542設備的安全補丁,但是NAS設備NSA210、NSA220、NSA220+、NSA221、NSA310、NSA310S、NSA320、NSA320、NSA325和NSA325v2將不會收到任何補丁,因為它們已過了供應商的支持週期。
ZyXEL建議,不要讓產品直接暴露在互聯網上,需要在NAS連接到安全路由器或防火牆上,獲得額外的保護。
CERT/CC也提供了一些防禦措施,比如攔截對Web端口的訪問,避免將NAS暴露到互聯網上。
<code>本文由白帽彙整理並翻譯,不代表白帽匯任何觀點和立場來源:https://securityaffairs.co/wordpress/98461/hacking/zyxel-critical-rce.html/<code>
閱讀更多 白帽子 的文章
