Zyxel修复了NAS设备中的严重漏洞
近期,网络产品供应商Zyxel修复了几款NAS设备的关键漏洞,早先该漏洞已在公网上被利用。
目前这个漏洞被标记为CVE-2020-9054,是一个严重的远程代码执行漏洞,会影响多款NAS设备。而且该漏洞可被未经身份验证的攻击者所利用,主要和weblogin.cgi
这个CGI文件有关(在处理用户输入时安全过滤不到位)。
攻击者可以在传递给该可执行文件的用户名中包含某些特殊字符来触发漏洞,以webserver
的权限实现命令注入。
根据CERT/CC的公告,多款ZyXEL品牌的NAS设备包含一个无需认证的命令注入漏洞,远程且未经认证的攻击者可针对一个存在漏洞的设备进行攻击。
专家还表示,ZyXEL的NAS设备包括一个setuid
应用,可以以root权限执行任何命令。
CERT/CC的专家警告说,攻击者可以远程利用这个漏洞。为此他们创建了一个PoC检测网站,可对ZyXEL设备进行扫描(网页源码有poc细节)。
据著名调查人员Brian Krebs的说法,在地下论坛中,一个可被使用的PoC正以2万美元的价格出售。Krebs已将他的发现与供应商、DHS专家和CERT/CC进行了分享。
Zyxel在发表的报告中表示,Zyxel NAS产品受到远程代码执行漏洞的影响,建议用户立即安装补丁或遵循官方解决方案,以获得最佳保护。
“固件版本5.21及更早的Zyxel NAS产品的weblogin.cgi
文件存在一个远程代码执行漏洞。未经身份验证的攻击者可以远程执行代码。”
攻击者可以通过发送一个特制的HTTP POST或GET请求来利用该漏洞。如果攻击者不能直接连接到目标设备,也可通过欺骗受害者访问恶意网站的形式(类似于CSRF)攻击目标设备。
Krebs表示,这个漏洞之所以引人注目,是因为它吸引了大规模进行勒索软件攻击的组织的兴趣。最近的网络活动表明,这些进行勒索攻击的组织一直都很活跃,想以此感染更多设备。具体来说,这和一个名为Emotet的恶意软件有关。
Zyxel已经发布了NAS326、NAS520、NAS540和NAS542设备的安全补丁,但是NAS设备NSA210、NSA220、NSA220+、NSA221、NSA310、NSA310S、NSA320、NSA320、NSA325和NSA325v2将不会收到任何补丁,因为它们已过了供应商的支持周期。
ZyXEL建议,不要让产品直接暴露在互联网上,需要在NAS连接到安全路由器或防火墙上,获得额外的保护。
CERT/CC也提供了一些防御措施,比如拦截对Web端口的访问,避免将NAS暴露到互联网上。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://securityaffairs.co/wordpress/98461/hacking/zyxel-critical-rce.html
最新评论