[English] Zyxel با بروزرسانی نرم افزار ، فاصله 0 روزه دستگاه های NAS خود را از بین برد. کد سوء استفاده از این آسیب پذیری در حال حاضر در انجمن های زیرزمینی با قیمت 20،000 دلار فروخته می شود.
بسیاری از دستگاه های ZyXEL NAS مستعد تزریق دستورات قبل از تأیید اعتبار با استفاده از رابط مدیریت وب هستند – CVE-2020-9054
دستورات اجرا شده ممکن است از قابلیت اجرای دستور داخلی با امتیازات سرپرست استفاده کنند. https://t.co/aaZj3I1czq– Will Dormann (wdormann) 24 فوریه 2020
24 فوریه 2020. این هشدار ایمنی برای مدل های مختلف Zyxel NAS صادر شده است. بسیاری از دستگاه های ZyXEL NASX (شبکه پیوست شده ذخیره سازی) دارای آسیب پذیری در تزریق یک دستور قبل از تأیید اعتبار هستند ، که می تواند به مهاجمان اجازه دهد تا بدون ورود به سیستم ، کدی را در دستگاه آسیب پذیر اجرا کند.
تأیید اعتبار دستگاه های ZyXEL NAS با استفاده از پرونده اجرایی CGI weblogin.cgi . با این حال ، این برنامه CGI نمی تواند پارامتر نام کاربری منتقل شده به آن را به درستی پردازش کند. اگر این پارامتر دارای کاراکترهای خاصی باشد که در نام کاربری مشخص شده اند ، این ممکن است امکان وارد کردن دستوراتی را با حقوق یک سرور وب که در دستگاه ZyXEL در حال کار است ، باشد.
اگرچه سرور وب به عنوان کاربر اصلی کار نمی کند ، دستگاه های ZyXEL شامل setuid هستند – ابزاری که می تواند برای اجرای هر دستور با امتیازات سرپرست استفاده شود. بنابراین می توان فرض کرد که سوءاستفاده از این آسیب پذیری می تواند منجر به اجرای کد از راه دور با امتیازات سرپرست شود.
با ارسال یک درخواست خاص HTTP-POST یا GET به دستگاه آسیب پذیر ZyXEL ، ممکن است یک مهاجم از راه دور و غیرمجاز احتمالاً کد دلخواه را روی دستگاه اجرا کند. اگر مهاجمی به آن دسترسی داشته باشید ، این کار را می توان با اتصال به دستگاه انجام داد. با این حال ، راه هایی برای ایجاد چنین درخواست های دستکاری وجود دارد ، حتی اگر مهاجم مستقیماً به یک دستگاه آسیب پذیر متصل نشود. به عنوان مثال ، مراجعه به وب سایت به سادگی می تواند دستگاه ZyXEL را که از سیستم مشتری قابل دسترسی است تهدید کند.
ZyXEL به روزرسانی های سیستم عامل را برای NAS326 ، NAS520 ، NAS540 و NAS542 منتشر کرده است. دارندگان NSA210، NSA220، NSA220 +، NSA221، NSA310، NSA310S، NSA320، NSA320S، NSA325 و NSA325v2 نمی توانند به روزرسانیهای سیستم عامل را نصب کنند زیرا این دستگاه ها دیگر پشتیبانی نمی شوند.
شما باید سیستم عامل را در دستگاه های تحت تأثیر مشکل ارائه شده به روز کنید. زیرا فرآیند بروزرسانی سیستم عامل ZyXEL از یک کانال ناامن (FTP) برای بارگیری به روزرسانی ها استفاده می کند. از طرف دیگر ، پرونده های سیستم عامل فقط با یک چک تأیید می شوند ، نه یک امضای رمزنگاری. به همین دلایل ، هر مهاجمی که کنترل DNS یا IP مسیریابی را داشته باشد ، می تواند بدافزار را در دستگاه ZyXEL نصب کند.
كسانی كه نمی توانند پچ كنند باید از محافظ محافظ استفاده كنند. این مشکل با مسدود کردن (به عنوان مثال از طریق فایروال) دسترسی به رابط اینترنت (80 / TCP و 443 / TCP) دستگاه آسیب پذیر ZyXEL حل می شود. هر دستگاهی که بتواند به رابط شبکه ZyXEL دسترسی پیدا کند ، نباید به اینترنت دسترسی داشته باشد.
برایان كربس اطلاعاتی در مورد این پرونده را در این مقاله منتشر كرد. وی به Zyxel اطلاع داد که یک بهره برداری 0 روزه در حال گردش است و به قیمت 20،000 دلار فروخته می شود.
سازنده تجهیزات شبکه Zyxel خطای صفر روز را در دستگاه های NAS خود ثبت کرد. این وصله 12 روز پس از آنکه KrebsOnSecurance به این شرکت گفت که کد آسیب پذیری با قیمت 20،000 دلار فروخته شده ، ظاهر می شود. ظاهرا باندهای باج افزار اکنون آن را به زرادخانه خود اضافه می کنند https://t.co/v60s7kCm18 pic.twitter.com/YDLUYX5Mig
– سرطان برایان (brian rak) 24 فوریه 2020 [19659015]
