CVE: CVE-2020-9054
Описание
В выпускаемых Zyxel системах хранения NAS и межсетевых экранах обнаружена уязвимость удаленного выполнения кода. Мы рекомендуем владельцам этих устройств как можно быстрее установить соответствующие прошивки, либо выполнить инструкции по устранению этой уязвимости для обеспечения оптимальной защиты.
В чём заключается уязвимость?
Уязвимость удаленного выполнения кода (remote code execution) обнаружена в программе weblogin.cgi, которая используется в выпускаемых Zyxel системах хранения NAS и межсетевых экранах. Ошибка при аутентификации пользователей, выполняемой с помощью этой программы, позволяет удаленно запускать на этих продуктах выполнение команд.
Какие устройства уязвимы и что следует делать?
После тщательного анализа всех наших продуктовых линеек мы обнаружили, что эта уязвимость затрагивает следующие устройства:
Модели NAS, использующие версию прошивки 5.21 или более раннюю.
Межсетевые экраны серий UTM, ATP и VPN, использующие прошивку, начиная с версии ZLD V4.35 Patch 0 и до версии ZLD V4.35 Patch 2. Межсетевые экраны, которые используют прошивку ранее ZLD V4.35 Patch 0, НЕ ПОДВЕРЖЕНЫ этой уязвимости.
После тщательного расследования мы выявили уязвимые устройства, на которые распространяется гарантия и период поддержки, и выпустили для них новые микропрограммы с исправлениями.
| Модель | Прошивки с исправлениями |
|---|---|
| NAS326 | Уже доступна: Firmware V5.21(AAZF.10)C0 |
| NAS520 | Уже доступна: Firmware V5.21(AASZ.3)C0* |
| NAS540 | Уже доступна: Firmware V5.21(AATB.7)C0 |
| NAS542 | Уже доступна: Firmware V5.21(ABAG.7)C0 |
| ATP100 | Уже доступна: Firmware V4.35(ABPS.3)C0 |
| ATP200 | Уже доступна: Firmware V4.35(ABFW.3)C0 |
| ATP500 | Уже доступна: Firmware V4.35(ABFU.3)C0 |
| ATP800 | Уже доступна: Firmware V4.35(ABIQ.3)C0 |
| USG20-VPN | Уже доступна: Firmware V4.35(ABAQ.3)C0 |
| USG20W-VPN | Уже доступна: Firmware V4.35(ABAR.3)C0 |
| USG40 | Уже доступна: Firmware V4.35(AALA.3)C0 |
| USG40W | Уже доступна: Firmware V4.35(AALB.3)C0 |
| USG60 | Уже доступна: Firmware V4.35(AAKY.3)C0 |
| USG60W | Уже доступна: Firmware V4.35(AAKZ.3)C0 |
| USG110 | Уже доступна: Firmware V4.35(AAPH.3)C0 |
| USG210 | Уже доступна: Firmware V4.35(AAPI.3)C0 |
| USG310 | Уже доступна: Firmware V4.35(AAPJ.3)C0 |
| USG1100 | Уже доступна: Firmware V4.35(AAPK.3)C0 |
| USG1900 | Уже доступна: Firmware V4.35(AAPL.3)C0 |
| USG2200 | Уже доступна: Firmware V4.35(ABAE.3)C0 |
| VPN50 | Уже доступна: Firmware V4.35(ABHL.3)C0 |
| VPN100 | Уже доступна: Firmware V4.35(ABFV.3)C0 |
| VPN300 | Уже доступна: Firmware V4.35(ABFC.3)C0 |
| VPN1000 | Уже доступна: Firmware V4.35(ABIP.3)C0 |
| ZyWALL110 | Уже доступна: Firmware V4.35(AAAA.3)C0 |
| ZyWALL310 | Уже доступна: Firmware V4.35(AAAB.3)C0 |
| ZyWALL1100 | Уже доступна: Firmware V4.35(AAAC.3)C0 |
*Срок поддержки NAS520 закончился, поэтому обратитесь за файлом в местную службу поддержки Zyxel.
Примечание: если у вас возникли вопросы по установке прошивки для продуктов NAS, обратитесь к разделу часто задаваемых вопросов на нашем форуме:
https://community.zyxel.com/en/discussion/8525/faq-upgrading-latest-nas-remote-code-execution-vulnerability-firmware
Если у вашего продукта NAS, в котором обнаружена уязвимость, поддержка закончилась (end-of-support) в 2016 году или ранее, то для него больше не выпускаются обновления прошивки, поэтому мы настоятельно рекомендуем для устранения уязвимости выполнить следующую инструкцию.
| Модели с истекшим сроком поддержки | Инструкция |
|---|---|
| NSA210, NSA220, NSA220+, NSA221, NSA310, NSA310S, NSA320, NSA320S, NSA325 and NSA325v2 | Не оставляйте устройство подключенным к Интернету напрямую. Если возможно, подключите его к маршрутизатору для дополнительной защиты. |
Обновление от 27 января 2022 г.
Недавние исследования показали, что новое вредоносное ПО BotenaGo нацелено на список устройств с известными уязвимостями CVE от нескольких производителей. Мы призываем пользователей с перечисленными выше устройствами немедленно установить соответствующие обновления или выполнить инструкцию для оптимальной защиты.
Есть вопросы?
Свяжитесь с местной техподдержкой или напишите на нашем форуме для получения дополнительной информации.
Благодарность
Спасибо Брайану Кребсу, независимому журналисту-расследователю, за сообщение нам о проблеме и CERT/CC за координацию процесса раскрытия информации.
Изменения:
2020-02-24: Первый выпуск
2020-02-26: Добавлены межсетевые экраны в список уязвимых продуктов и изменен раздел благодарностей
2020-02-27: Добавлены инструкции по установке прошивок
2020-03-04: Обновлены ссылки для скачивания прошивок межсетевых экранов
2020-03-06: Обновлены ссылки для скачивания прошивок NAS
2020-03-11: Добавлены часто задаваемые вопросы по обновлению прошивки NAS
2022-01-28: Обновлена версия прошивки для NAS326, NAS540 и NAS542; добавлен ответ на недавнее исследование вредоносного ПО BotenaGo