Zyxel выпустила обновления безопасности для устранения критической уязвимости, затрагивающей несколько моделей бизнес-маршрутизаторов. Потенциально она позволяет неаутентифицированным злоумышленникам выполнять инъекцию команд ОС.
Уязвимость, отслеживаемая как CVE-2024-7261 и имеющая оценку CVSS v3 9,8 («критическая»), представляет собой ошибку проверки входных данных из-за неправильной их обработки. Это позволяет удалённым злоумышленникам выполнять произвольные команды в операционной системе хоста.
«Неправильная нейтрализация специальных элементов в параметре “host” в программе CGI некоторых версий точек доступа и маршрутизаторов безопасности может позволить неаутентифицированному злоумышленнику выполнять команды ОС, отправляя созданный файл cookie на уязвимое устройство», — предупреждает Zyxel.
Затронуты следующие маршрутизаторы:
серия NWA: NWA50AX, NWA50AX PRO, NWA55AXE, NWA90AX, NWA90AX PRO, NWA110AX, NWA130BE, NWA210AX, NWA220AX-6E (все версии до 7.00 уязвимы);
NWA1123-AC PRO (все версии до 6.28 уязвимы);
NWA1123ACv3, WAC500, WAC500H (все версии до 6.70 уязвимы);
серия WAC: WAC6103D-I, WAC6502D-S, WAC6503D-S, WAC6552D-S, WAC6553D-E (все версии до 6.28 уязвимы);
серия WAX: WAX300H, WAX510D, WAX610D, WAX620D-6E, WAX630S, WAX640S-6E, WAX650S, WAX655E (все версии до 7.00 уязвимы);
серия WBE: WBE530, WBE660S (все версии до 7.00 уязвимы).
Zyxel сообщает, что маршрутизатор USG LITE 60AX под управлением V2.00(ACIP.2) также подвержен уязвимости, но эта модель автоматически обновилась через облако до V2.00(ACIP.3).
Компания также выпустила обновления безопасности для нескольких уязвимостей высокой степени серьёзности в брандмауэрах APT и USG FLEX:
CVE-2024-6343: переполнение буфера в программе CGI может привести к DoS, если аутентифицированный администратор отправит специально созданный HTTP-запрос;
CVE-2024-7203: внедрение команды после аутентификации позволяет аутентифицированному администратору выполнять команды ОС с помощью специально созданной команды CLI;
CVE-2024-42057: внедрение команд в IPSec VPN позволяет неаутентифицированному злоумышленнику выполнять команды ОС с помощью созданного длинного имени пользователя в режиме User-Based-PSK;
CVE-2024-42058: разыменование нулевого указателя может вызвать DoS через созданные пакеты, отправленные неаутентифицированным злоумышленником;
CVE-2024-42059: внедрение команд после аутентификации позволяет аутентифицированному администратору выполнять команды ОС, загрузив созданный сжатый языковой файл через FTP;
CVE-2024-42060: внедрение команд после аутентификации позволяет аутентифицированному администратору выполнять команды ОС, загрузив созданный файл внутреннего пользовательского соглашения;
CVE-2024-42061: отражённый XSS в «dynamic_script.cgi» может позволить злоумышленнику обманом заставить пользователя посетить созданный URL-адрес, что может привести к утечке информации о браузере.
Наиболее интересной из вышеперечисленных является CVE-2024-42057 (CVSS v3: 8.1, «high»), которая представляет собой уязвимость внедрения команд в функцию IPSec VPN. Однако серьёзность снижается за счёт определённых требований к конфигурации, необходимых для эксплуатации уязвимости, включая настройку устройства в режиме аутентификации User-Based-PSK и наличие пользователя с именем, длина которого превышает 28 символов.
В конце 2023 года Zyxel предупредила о шести уязвимостях, включая три критические, которые обнаружили во встроенном ПО для популярных сетевых хранилищ NAS326 и NAS542. Используя уязвимости, злоумышленники могли получить удалённый доступ к NAS без необходимости проходить процесс аутентификации и выполнять произвольные команды на сетевых устройствах хранения данных, включая изменение настроек резервного копирования, управление потоковой передачей медиа и параметров обмена данными.
Источник новости: habr.com