Zyxel網絡附加存儲（NAS）設備中最近披露的零日漏洞也影響了20多個供應商的防火墻。

可以遠程利用此安全漏洞（CVE標識符CVE-2020-9054），而無需進行身份驗證即可在受影響的設備上執行任意代碼。

該漏洞存在于weblogin.cgi CGI程序中，username參數未正確清理。因此，攻擊者可以通過在用戶名中包含某些字符來利用該漏洞進行命令注入。

盡管weblogin.cgi不能以root身份運行，但易受攻擊的設備包括setuid實用程序，攻擊者可能會濫用該setuid實用程序來以root權限運行命令。

通過向易受攻擊的設備發送巧盡心思構建的HTTP POST或GET請求，可以利用此漏洞進行攻擊。如果設備不是直接暴露于Internet而是由防火墻保護，則當用戶導航到惡意站點時，仍然有可能被利用。

本周早些時候，Zyxel發布了一份關于該漏洞的公告，披露該漏洞影響了十多個NAS設備，其中包括10個不再受支持的設備。

周三，網絡設備供應商更新了公告，在易受攻擊的產品列表中總共添加了23個UTM，ATP和VPN防火墻。公告稱，該漏洞會影響固件版本ZLD V4.35補丁0到ZLD V4.35補丁2。

受影響的設備列表包括以下防火墻：ATP100，ATP200，ATP500，ATP800，USG20-VPN，USG20W-VPN，USG40，USG40W，USG60，USG60W，USG110，USG210，USG310，USG1100，USG1900，USG2200，VPN50，VPN100 ，VPN300，VPN1000，ZyWALL110，ZyWALL310和ZyWALL1100。

對該漏洞的攻擊已經在地下論壇上出現了幾個星期，并且已經引起了網絡犯罪集團的注意，包括Emotet特洛伊木馬的幕后參與者。

Zyxel已發布了所有受支持設備的補丁程序，其中包括上述防火墻設備以及NAS326，NAS520，NAS540和NAS542存儲設備。

建議無法更新可用修補程序的用戶將其設備與Internet隔離，以確保它們不會成為惡意攻擊的目標。

“在登錄頁面內進行命令注入的后果不堪設想，并且缺少任何跨站點請求偽造令牌使此漏洞特別危險。” 正如CERT所證明的，運行在瀏覽器中的JavaScript足以識別和利用網絡上的易受攻擊的設備，” Tripwire的計算機安全研究員Craig Young在一封電子郵件評論表示。

“此類漏洞是我強烈建議供應商使用HTTPS而網絡所有者使用分段的原因。一般來說，從具有網絡設備的同一網絡上執行常規Web瀏覽不是一個好主意， 因為該網絡可以存在如打印機、媒體盒、文件服務器或其他易受攻擊的HTTP接口的系統，” Young補充道。

來源：securityweek

及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統

【網絡安全監管部門】免費試用

本文來源:

如涉及侵權，請及時與我們聯系，我們會在第一時間刪除或處理侵權內容。
電話：400-869-9193 負責人：張明