Uma falha crítica, seguida pelo CVE-2022-30525, tem sido ativamente explorada, e afeta tanto firewalls como dispositivos VPN da Zyxel.

É essencialmente uma falha que, se devidamente explorada, abre a possibilidade de execução de código remota, sem autenticação.

Explorar a falha

O atacante pode executar um comando um curl fazendo um pedido à interface administrativa Web, onde é usado o utilizador "nobody" para executar os comandos no servidor.

O ficheiro que é usado nesta falha é o Lib_wan_settings.py, no qual o atacante pode depois usar o método em python designado os.system, que não é filtrado. Daí o atacante faz a chamada ao diretório /ztp/cgi-bin/handler, enviando como parte do parâmetro "command" "setWanPortSt"

Versões afetadas

USG FLEX 100, 100W, 200, 500, 700 (Firmware: ZLD5.00 thru ZLD5.21 Patch 1)

USG20-VPN, USG20W-VPN (Firmware: ZLD5.10 thru ZLD5.21 Patch 1)

ATP 100, 200, 500, 700, 800 (Firmware: ZLD5.10 thru ZLD5.21 Patch 1)

Solução

Ativar as atualizações automáticas ou desativar o acesso WAN

Advisory oficial da Zyxel: https://www.zyxel.com/support/Zyxel-security-advisory-for-OS-command-injection-vulnerability-of-firewalls.shtml

Mais informações: https://attackerkb.com/topics/LbcysnvxO2/cve-2022-30525/rapid7-analysis