Zyxel网络附加存储(NAS)设备中最近披露的零日漏洞也影响了20多个供应商的防火墙。
可以远程利用此安全漏洞(CVE标识符CVE-2020-9054),而无需进行身份验证即可在受影响的设备上执行任意代码。
该漏洞存在于weblogin.cgi CGI程序中,username参数未正确清理。因此,攻击者可以通过在用户名中包含某些字符来利用该漏洞进行命令注入。
尽管weblogin.cgi不能以root身份运行,但易受攻击的设备包括setuid实用程序,攻击者可能会滥用该setuid实用程序来以root权限运行命令。
通过向易受攻击的设备发送巧尽心思构建的HTTP POST或GET请求,可以利用此漏洞进行攻击。如果设备不是直接暴露于Internet而是由防火墙保护,则当用户导航到恶意站点时,仍然有可能被利用。
本周早些时候,Zyxel发布了一份关于该漏洞的公告,披露该漏洞影响了十多个NAS设备,其中包括10个不再受支持的设备。
周三,网络设备供应商更新了公告,在易受攻击的产品列表中总共添加了23个UTM,ATP和VPN防火墙。公告称,该漏洞会影响固件版本ZLD V4.35补丁0到ZLD V4.35补丁2。
受影响的设备列表包括以下防火墙:ATP100,ATP200,ATP500,ATP800,USG20-VPN,USG20W-VPN,USG40,USG40W,USG60,USG60W,USG110,USG210,USG310,USG1100,USG1900,USG2200,VPN50,VPN100 ,VPN300,VPN1000,ZyWALL110,ZyWALL310和ZyWALL1100。
对该漏洞的攻击已经在地下论坛上出现了几个星期,并且已经引起了网络犯罪集团的注意,包括Emotet特洛伊木马的幕后参与者。
Zyxel已发布了所有受支持设备的补丁程序,其中包括上述防火墙设备以及NAS326,NAS520,NAS540和NAS542存储设备。
建议无法更新可用修补程序的用户将其设备与Internet隔离,以确保它们不会成为恶意攻击的目标。
“在登录页面内进行命令注入的后果不堪设想,并且缺少任何跨站点请求伪造令牌使此漏洞特别危险。” 正如CERT所证明的,运行在浏览器中的JavaScript足以识别和利用网络上的易受攻击的设备,” Tripwire的计算机安全研究员Craig Young在一封电子邮件评论表示。
“此类漏洞是我强烈建议供应商使用HTTPS而网络所有者使用分段的原因。一般来说,从具有网络设备的同一网络上执行常规Web浏览不是一个好主意, 因为该网络可以存在如打印机、媒体盒、文件服务器或其他易受攻击的HTTP接口的系统,” Young补充道。
来源:securityweek
及时掌握网络安全态势 尽在傻蛋网络安全监测系统
本文来源:
如涉及侵权,请及时与我们联系,我们会在第一时间删除或处理侵权内容。
电话:400-869-9193 负责人:张明
工商执照