Зиксель на прошлой неделе закрыто критическая уязвимость в трех офисных межсетевых экранах серий Zywall ATP и USG FLEX. Проблему обнаружил Rapid7, который опубликовано технический отчет с видео, демонстрирующим работу скважины.
Уязвимость получила идентификатор CVE-2022-30525 и рейтинг опасности 9,8 из 10 по шкале CvSS. 
Причина такого высокого рейтинга — возможность удаленного выполнения команд без авторизации на устройстве, которое по своей природе должно быть доступно извне.
Затронутые устройства Zyxel рекламируются как готовое решение для защиты небольшого отдела крупной организации, обеспечивающее (в зависимости от модели) VPN-шлюз, фильтрацию доступа к веб-сайтам и даже сканирование электронной почты.
Скорее всего, ошибка связана с функцией автоматической настройки для быстрого внедрения новых устройств.
По данным Rapid7, на момент обнаружения уязвимости в апреле специализированная поисковая система Shodan обнаружила более 16 тысяч устройств, контроль над которыми можно было перехватить удаленно.
Атака на сетевые устройства стала возможной из-за отсутствия контроля над данными, передаваемыми в запросах извне.
Это показано на примере ниже, где при внешнем вызове маршрутизатора отправляется команда setWanPortSt , а в параметре мту Для него вставляется команда ping, которую выполняет роутер.
curl -v --insecure -X POST -H "Content-Type: application/json" -d
'{"command":"setWanPortSt","proto":"dhcp","port":"4","vlan_tagged"
:"1","vlanid":"5","mtu":"; ping 192.168.1.220;","data":"hi"}' https://192.168.1.1/ztp/cgi-bin/handler
Производитель был уведомлен о наличии уязвимости 13 апреля, а уже 28 апреля.
выпущенный пластырь.
ArsTechnica отмечает, что уязвимые решения Zyxel имеют возможность автоматической установки обновлений прошивки, но по умолчанию она отключена.
После выхода патча поиск через Shodan показал, что последняя прошивка установлена лишь на четверти доступных в сети устройств одной из ранее уязвимых моделей.
Теги: #информационная безопасность #zyxel #atp200 #CVE-2022-30525
-
Улучшение Навигации В Google Reader
19 Oct, 24 -
Вышел Виртуалбокс 3
19 Oct, 24 -
Еще Одно Сообщество Python
19 Oct, 24 -
Pptp Против L2Tp Через Маршрутизатор
19 Oct, 24 -
А: Мертв
19 Oct, 24 -
Cd И Винил: Вся Правда О Виниле
19 Oct, 24 -
Выпуск Richfaces 3.3.0 Ga
19 Oct, 24 -
Сервис Rambler-Ads Официально Запустился
19 Oct, 24
