[English]Zyxel hat eine 0-Day Schwachstelle in seinen NAS-Geräten durch ein Firmware-Update geschlossen hat. Ein Exploit-Code für die Schwachstelle wird aktuell in Untergrundforen für 20.000 Dollar verkauft.
Ich bin über den nachfolgenden Tweet von Will Dormann auf das Sicherheitsproblem aufmerksam geworden.
Multiple ZyXEL NAS devices are vulnerable to pre-authentication command injection using the web administration interface – CVE-2020-9054
Executed commands may leverage built-in capabilities to execute commands with root privileges.https://t.co/aaZj3I1czq— Will Dormann (@wdormann) February 24, 2020
Am 24.2.2020 wurde diese Sicherheitswarnung zu verschiedenen Zyxel-NAS-Modellen veröffentlicht. Mehrere NAS-Geräte (Network-Attached Storage) von ZyXEL enthalten eine Pre-Authentication Command Injection-Schwachstelle, die es einem Remote-Angreifer ohne Anmeldung ermöglichen könnte, beliebigen Code auf einem verwundbaren Gerät auszuführen.
NAS-Geräte von ZyXEL ermöglichen eine Authentifizierung durch die Verwendung der ausführbaren CGI-Datei weblogin.cgi. Dieses CGI-Programm kann aber den Benutzernamen-Parameter, der ihm übergeben wird, nicht ordnungsgemäß verarbeiten. Enthält der Parameter bestimmte mit dem Benutzernamen bestimmte Zeichen, kann dies eine Befehlsinjektion mit den Privilegien des Webservers, der auf dem ZyXEL-Gerät läuft, ermöglichen.
Obwohl der Webserver nicht als Root-Benutzer läuft, enthalten die ZyXEL-Geräte ein setuid-Dienstprogramm, das zur Ausführung beliebiger Befehle mit Root-Rechten genutzt werden kann. Daher ist davon auszugehen, dass die Ausnutzung dieser Schwachstelle zur Remote-Codeausführung mit Root-Rechten führen kann.
Durch Senden einer speziell erstellten HTTP-POST- oder GET-Anfrage an ein anfälliges ZyXEL-Gerät kann ein entfernter, nicht authentifizierter Angreifer möglicherweise beliebigen Code auf dem Gerät ausführen. Dies kann durch eine Verbindung zu einem Gerät geschehen, wenn der Angreifer Zugriff auf das Gerät hat. Es gibt jedoch Möglichkeiten, solche präparierten Anfragen auszulösen, selbst wenn ein Angreifer keine direkte Verbindung zu einem verwundbaren Gerät hat. Zum Beispiel kann der einfache Besuch einer Website zur Kompromittierung eines beliebigen ZyXEL-Geräts führen, das vom Client-System aus erreichbar ist.
ZyXEL hat Firmware-Updates für die Geräte NAS326, NAS520, NAS540 und NAS542 zur Verfügung gestellt. Besitzer von NSA210, NSA220, NSA220+, NSA221, NSA310, NSA310S, NSA320, NSA320S, NSA325 und NSA325v2 können keine Firmware-Updates installieren, da diese Geräte nicht mehr unterstützt werden.
Bei der Aktualisierung der Firmware auf den betroffenen Geräten ist Vorsicht geboten. Denn der ZyXEL-Firmware-Upgrade-Prozess verwendet einerseits einen unsicheren Kanal (FTP) zum Abrufen von Updates verwendet. Andererseits werden die Firmware-Dateien nur durch eine Prüfsumme und nicht durch eine kryptografische Signatur verifiziert. Aus diesen Gründen kann jeder Angreifer, der die Kontrolle über DNS oder IP-Routing hat, die Installation einer bösartigen Firmware auf einem ZyXEL-Gerät veranlassen.
Wer nicht patchen kann, der sollte Workarounds zur Absicherung einsetzen. Dieses Problem kann durch die Blockierung (z.B. mit einer Firewall) des Zugriffs auf die Web-Schnittstelle (80/tcp und 443/tcp) eines anfälligen ZyXEL-Geräts gemildert werden. Jedes Gerät, das auf die Web-Schnittstelle von ZyXEL zugreifen kann, sollte nicht auch auf das Internet zugreifen können.
Brian Krebs hat in diesem Artikel noch einige Informationen zu diesem Fall veröffentlicht. So hat er Zyxel gemeldet, dass ein 0-day Exploit in Umlauf sei und für 20.000 US $ verkauft werden.
Networking hardware vendor Zyxel has patched a zero-day bug in its NAS devices. The patch comes 12 days after KrebsOnSecurity told the company exploit code for the flaw was being sold for $20k. Ransomware gangs are now reportedly adding it to their arsenal https://t.co/v60s7kCm18 pic.twitter.com/YDLUYX5Mig
— briankrebs (@briankrebs) February 24, 2020
Ist bekannt, ob derselbe (oder ein vergleichbarer) Angriff auch auf die Weboberfläche der ZyXEL Switches erfolgen kann?
Hier der Proof of Concept
https://kb.cert.org/artifacts/cve-2020-9054.html
Hallo
Habe gerade per Zufall bemerkt, dass die USG / ATP Firewalls von dem Problem auch betroffen sind.
https://www.zyxel.com/support/remote-code-execution-vulnerability-of-NAS-products.shtml
Wäre vieleicht ein Update wert, da die NAS Boxen eher selten sind, die Firewalls aber häufiger verwendet werden.