Masz sprzęt od Zyxela? (firewall, NAS, …). 0day umożliwiający przejęcie admina dwoma znakami wpisanymi w login (!)

Jeśli tak dalej pójdzie, to nigdy nie zabraknie nam materiału do serii #vulnz (ciekawe, nowe podatności – w miarę możliwości codziennie na sekuraku).

Bohaterem dzisiejszego odcinka jest firma Zyxel. Otóż w cenie $20 000 dystrybuowany był exploit na podatność klasy 0-day, umożliwiający dostanie się na urządzenia (wykonanie poleceń jako root) bez posiadania żadnego loginu/hasła:

Multiple ZyXEL devices achieve authentication by using the weblogin.cgi CGI executable. This program fails to properly sanitize the username parameter that is passed to it. If the username parameter contains certain characters, it can allow command injection with the privileges of the web server that runs on the ZyXEL device. Although the web server does not run as the root user, many ZyXEL devices include a setuid utility that can be leveraged to run any command with root privileges

W skrócie – mamy tu podatność klasy command injection w polu login (czyli programiści firmware zapewnie używają wartości wpisanej w pole login w jakimś poleceniu systemowym; jednak nie za bardzo przejmują się odpowiednią walidacją danych przesyłanych od użytkownika). Dostajemy zatem możliwość wykonania polecenia OS na urządzeniu – a wg dostępnych informacji na „wielu urządzeniach ZyXEL-a” można to łatwo dalej wyeskalować do uprawnień roota.

Co konkretnie jest podatne? (czy raczej było – producent właśnie wypuścił łaty) M.in. urządzenia klasy NAS, Firewalle / UTM. Zła informacja jest taka, że część sprzętu nie dostała łatki (skończył się support…). Dobra jest taka, że aby wykorzystać podatność trzeba posiadać dostęp do ekranu logowania urządzenia (webowy panel zarządzający).

–ms