Компания Zyxel на прошлой неделе закрыла критическую уязвимость в трех офисных брандмауэрах серий Zywall ATP и USG FLEX. Проблему обнаружила компания Rapid7, которая выложила технический отчет с видео, демонстрирующим эксплуатацию дыры. Уязвимость получила идентификатор CVE-2022-30525 и рейтинг опасности в 9,8 балла из 10 по шкале CvSS.
Причина такого высокого рейтинга — возможность удаленного выполнения команд без авторизации на устройстве, которое по своей природе должно быть доступно извне. Подверженные устройства Zyxel рекламируются как готовое решение для защиты небольшого подразделения крупной организации, обеспечивают (в зависимости от модели) работу VPN-шлюза, фильтрацию доступа к веб-сайтам и даже сканирование электронной почты. Скорее всего, баг связан с функцией zero-touch provisioning для быстрого внедрения новых устройств.
По данным Rapid7, на момент обнаружения уязвимости, в апреле, специализированный поисковик Shodan находил более 16 тысяч устройств, контроль над которыми можно было перехватить удаленно. Атака на сетевые устройства стала возможной благодаря отсутствию контроля над данными, передаваемыми в запросах извне. Это показано на примере ниже, где во внешнем обращении к маршрутизатору передается команда setWanPortSt, а в параметр mtu для нее вставляется команда ping, которую роутер выполняет.
Производителя уведомили о наличии уязвимости 13 апреля, и уже 28 апреля был выпущен патч. В издании ArsTechnica отмечают, что в уязвимых решениях Zyxel есть опция автоматической установки обновлений прошивки, но по умолчанию она отключена. После выпуска патча поиск через Shodan показал, что последняя прошивка установлена только на четверти доступных из сети устройств одной из ранее уязвимых моделей.
Причина такого высокого рейтинга — возможность удаленного выполнения команд без авторизации на устройстве, которое по своей природе должно быть доступно извне. Подверженные устройства Zyxel рекламируются как готовое решение для защиты небольшого подразделения крупной организации, обеспечивают (в зависимости от модели) работу VPN-шлюза, фильтрацию доступа к веб-сайтам и даже сканирование электронной почты. Скорее всего, баг связан с функцией zero-touch provisioning для быстрого внедрения новых устройств.
По данным Rapid7, на момент обнаружения уязвимости, в апреле, специализированный поисковик Shodan находил более 16 тысяч устройств, контроль над которыми можно было перехватить удаленно. Атака на сетевые устройства стала возможной благодаря отсутствию контроля над данными, передаваемыми в запросах извне. Это показано на примере ниже, где во внешнем обращении к маршрутизатору передается команда setWanPortSt, а в параметр mtu для нее вставляется команда ping, которую роутер выполняет.
curl -v --insecure -X POST -H "Content-Type: application/json" -d
'{"command":"setWanPortSt","proto":"dhcp","port":"4","vlan_tagged"
:"1","vlanid":"5","mtu":"; ping 192.168.1.220;","data":"hi"}'
https://192.168.1.1/ztp/cgi-bin/handler
Производителя уведомили о наличии уязвимости 13 апреля, и уже 28 апреля был выпущен патч. В издании ArsTechnica отмечают, что в уязвимых решениях Zyxel есть опция автоматической установки обновлений прошивки, но по умолчанию она отключена. После выпуска патча поиск через Shodan показал, что последняя прошивка установлена только на четверти доступных из сети устройств одной из ранее уязвимых моделей.