Zyxel修复网络存储产品中的0day漏洞风险通告
发布时间 2020-02-27漏洞编号和级别
CVE编号:CVE-2020-9054,危险级别:严重,CVSS分值:厂商自评:10,官方未评定
影响版本
运行固件版本5.21及更低版本的NAS产品。
运行固件版本ZLD V4.35补丁0到ZLD V4.35补丁2的UTM、ATP和VPN防火墙。ZLD V4.35补丁0之前的固件版本不受影响
漏洞概述
网络设备厂商Zyxel发布了多款网络附属存储(NAS)设备的补丁,修复一个已遭到网络犯罪分子利用的超危漏洞。
该漏洞编号为CVE-2020-9054,是一个无需身份认证即可利用的远程代码执行漏洞。该漏洞存在于weblogin.cgi文件中,源于CGI可执行文件未能妥当地过滤向其传递的username参数。
美国CERT/CC表示,如果用户名中包含了特定字符,攻击者可利用该漏洞以webserver的权限注入命令。接着,攻击者可以利用设备上包含的一个setuid实用程序以root权限运行任意命令。
Zyxel在安全公告中解释称,运行5.21及之前版本固件的ZyxelNAS产品的weblogin.cgi程序中发现了一个远程代码执行漏洞。该程序缺少身份认证,攻击者可利用漏洞通过注入OS命令远程执行代码。
远程攻击者可通过发送特制的HTTP POST或GET请求在脆弱的Zyxel设备上执行任意代码。即使攻击者没有直接连接设备(如果设备没有暴露在网络中),但是受害者连接了恶意的网站,也可触发该漏洞。
漏洞验证
该漏洞的exploit在地下论坛出售已有一段时间,标价2万美元。专门部署勒索软件的团伙已经对该exploit表示兴趣,Emotet团伙也打算将该exploit放到他们的恶意软件中。
修复建议
Zyxel发布了四款脆弱的设备的补丁,也就是NAS326,NAS520,NAS540和NAS542,以及UTM、ATP和VPN防火墙的补丁,链接:https://www.zyxel.com/support/remote-code-execution-vulnerability-of-NAS-products.shtml。
另有10款NAS产品不再得到Zyxel支持,将不会收到补丁。这些产品包括
NSA210,NSA220,NSA220+,NSA221,NSA310,NSA310S,NSA320,NSA320S,NSA325和NSA325v2。
这些设备的缓解措施包括拦截对 web 接口(80/tcp 和 443/tcp)的访问权限并确保该 NAS 未被暴露在互联网上。如有可能,则将其连接到安全路由器或部署防火墙进行进一步防护。
参考链接
https://www.securityweek.com/zyxel-devices-can-be-hacked-dns-requests-hardcoded-credentials
京公网安备11010802024551号