Бесплатно Экспресс-аудит сайта:

14.05.2022

Zyxel втихую исправил критическую уязвимость в межсетевых экранах

Международный производитель сетевого оборудования Zyxel втихую выпустил исправление для критической уязвимости (CVE-2022-30525), позволяющей злоумышленникам удаленно захватить контроль над десятками тысяч межсетевых экранов.

Поскольку уязвимость позволяет удаленно внедрять команды без авторизации, она получила 9,8 балла из максимальных 10 по шкале оценивания уязвимостей. Для ее эксплуатации достаточно лишь отправить затронутым устройствам простые HTTP- или HTTPS-запросы, позволяющие хакерам отправлять команды или открывать web-оболочки, обеспечивающие им постоянный привилегированный доступ.

Проблема затрагивает линейку межсетевых экранов с функцией автоматической конфигурации (zero-touch provisioning). Zyxel позиционирует их как устройства для развертывания в небольших представительствах и штаб-квартирах компаний. Межсетевые экраны обеспечивают VPN-соединение, проверку SSL, фильтрацию web-трафика, защиту от вторжения и защиту электронной почты. По данным поиска Shodan, в настоящее время через интернет доступно более 16 тыс. уязвимых устройств.

Как пояснили обнаружившие уязвимость специалисты Rapid7, VPN-серия этих устройств также поддерживает ZTP, но они не уязвимы, поскольку в них нет других требуемых функций.

«Затронутые модели уязвимы к неавторизованному удаленному внедрению команд через административный HTTP-интерфейс. Команды выполняются как пользователь nobody. Данная уязвимость эксплуатируется через /ztp/cgi-bin/handler URI и является результатом передачи вводимых злоумышленником непроверенных данных в метод os.system в lib_wan_settings.py. Уязвимый функционал активируется в связи с командой setWanPortSt. Злоумышленник может внедрить произвольные команды в mtu или параметр данных», - пояснил исследователь Rapid7 Джейк Бэйнс (Jake Baines).

Rapid7 разработала модуль для фреймворка эксплоитов Metasploit, автоматизирующий процесс эксплуатации данной уязвимости.

По словам Бэйнса, Rapid7 уведомила Zyxel о проблеме 13 апреля 2022 года, и обе компании договорились, что исправление будет выпущено 21 июня, и в этот же день она будет раскрыта широкой общественности. Однако в тайне от Rapid7 производитель выпустил обновление прошивки 28 апреля.

Администраторы должны установить обновление вручную, если они не изменили настройки по умолчанию, разрешив автоматическое обновление.