Zyxel修复网络存储产品中的0day漏洞风险通告

发布时间 2020-02-27

漏洞编号和级别


CVE编号:CVE-2020-9054,危险级别:严重,CVSS分值:厂商自评:10,官方未评定


影响版本


运行固件版本5.21及更低版本的NAS产品。


运行固件版本ZLD V4.35补丁0到ZLD V4.35补丁2的UTM、ATP和VPN防火墙。ZLD V4.35补丁0之前的固件版本不受影响


漏洞概述


网络设备厂商Zyxel发布了多款网络附属存储(NAS)设备的补丁,修复一个已遭到网络犯罪分子利用的超危漏洞。


该漏洞编号为CVE-2020-9054,是一个无需身份认证即可利用的远程代码实行漏洞。该漏洞存在于weblogin.cgi文件中,源于CGI可实行文件未能妥当地过滤向其传递的username参数。


美国CERT/CC表示,如果用户名中包含了特定字符,攻击者可利用该漏洞以webserver的权限注入命令。接着,攻击者可以利用设备上包含的一个setuid实用程序以root权限运行任意命令。


Zyxel在安全公告中说明称,运行5.21及之前版本固件的ZyxelNAS产品的weblogin.cgi程序中发现了一个远程代码实行漏洞。该程序缺少身份认证,攻击者可利用漏洞通过注入OS命令远程实行代码。


远程攻击者可通过发送特制的HTTP POST或GET请求在脆弱的Zyxel设备上实行任意代码。即使攻击者没有直接连接设备(如果设备没有暴露在网络中),但是受害者连接了恶意的网站,也可触发该漏洞。


漏洞验证


该漏洞的exploit在地下论坛出售已有一段时间,标价2万美金。专门部署勒索App的团伙已经对该exploit表示兴趣,Emotet团伙也打算将该exploit放到他们的恶意App中。


修复建议


Zyxel发布了四款脆弱的设备的补丁,也就是NAS326,NAS520,NAS540和NAS542,以及UTM、ATP和VPN防火墙的补丁,链接:https://www.zyxel.com/support/remote-code-execution-vulnerability-of-NAS-products.shtml。


另有10款NAS产品不再得到Zyxel支撑,将不会收到补丁。这些产品包括

NSA210,NSA220,NSA220+,NSA221,NSA310,NSA310S,NSA320,NSA320S,NSA325和NSA325v2。


这些设备的缓解措施包括拦截对 web 接口(80/tcp 和 443/tcp)的访问权限并确保该 NAS 未被暴露在互联网上。如有可能,则将其连接到安全路由器或部署防火墙进行进一步防护。


参考链接


https://www.securityweek.com/zyxel-devices-can-be-hacked-dns-requests-hardcoded-credentials