Компания Zyxel
исправила в своих сетевых хранилищах (NAS) критическую уязвимость, уже эксплуатируемую киберпреступниками в реальных атаках. По шкале оценивания опасности уязвимостей CVSS она получила максимальные 10 баллов.
Уязвимость
CVE-2020-9054 позволяет неавторизованному злоумышленнику удаленно выполнить код и затрагивает исполняемый файл weblogin.cgi, неспособный должным образом очистить переданный ему параметр имени пользователя. Благодаря этому атакующий может проэксплуатировать уязвимость, включив в имя пользователя определенные символы, и внедрять команды с привилегиями web-сервера. Затем с помощью встроенной в устройство утилиты setuid он может запускать команды с привилегиями суперпользователя.
Для эксплуатации уязвимости нужно отправить особым образом сконфигурированный HTTP POST- или GET-запрос. Эксплуатация бага возможна даже в случае отсутствия у атакующего непосредственного доступа к уязвимому устройству через интернет, если жертва зайдет на вредоносный сайт.
Эксплоит для уязвимости уже некоторое время продается на подпольных форумах. Как
сообщает журналист Брайан Кребс, сейчас его цена составляет $20 тыс., и к нему уже присматриваются киберпреступные группировки, специализирующиеся на массовых заражениях вымогательским ПО. Включить эксплоит в свое вредоносное ПО также намерена группировка Emotet.
Проблема затрагивает устройства с версией прошивки 5.21 и ниже. Zyxel выпустила устраняющие уязвимость обновления для четырех моделей – NAS326, NAS520, NAS540 и NAS542. Однако десять других моделей, NSA210, NSA220, NSA220+, NSA221, NSA310, NSA310S, NSA320, NSA320S, NSA325 и NSA325v2, больше не поддерживаются производителем и поэтому не получат обновления.
Во избежание возможных кибератак с использованием уязвимости администраторам более неподдерживаемых устройств рекомендуется заблокировать доступ к web-интерфейсу (80/TCP и 443/TCP) и отключить сетевые хранилища от интернета. Также стоит изолировать от интернета машины с доступом к web-интерфейсу уязвимых NAS.
Zyxel 
