Your browser either does not support JavaScript or you have turned JavaScript off.

(Обновление) Рекомендации Zyxel по безопасности для устранения уязвимостей в NAS и межсетевых экранах

CVE: CVE-2020-9054


Описание

В выпускаемых Zyxel системах хранения NAS и межсетевых экранах обнаружена уязвимость удаленного выполнения кода. Мы рекомендуем владельцам этих устройств как можно быстрее установить соответствующие прошивки, либо выполнить инструкции по устранению этой уязвимости для обеспечения оптимальной защиты.


В чём заключается уязвимость?

Уязвимость удаленного выполнения кода (remote code execution) обнаружена в программе weblogin.cgi, которая используется в выпускаемых Zyxel системах хранения NAS и межсетевых экранах. Ошибка при аутентификации пользователей, выполняемой с помощью этой программы, позволяет удаленно запускать на этих продуктах выполнение команд.


Какие устройства уязвимы и что следует делать?

После тщательного анализа всех наших продуктовых линеек мы обнаружили, что эта уязвимость затрагивает следующие устройства:

Модели NAS, использующие версию прошивки 5.21 или более раннюю.

Межсетевые экраны серий UTM, ATP и VPN, использующие прошивку, начиная с версии ZLD V4.35 Patch 0 и до версии ZLD V4.35 Patch 2. Межсетевые экраны, которые используют прошивку ранее ZLD V4.35 Patch 0, НЕ ПОДВЕРЖЕНЫ этой уязвимости.

После тщательного расследования мы выявили уязвимые устройства, на которые распространяется гарантия и период поддержки, и выпустили для них новые микропрограммы с исправлениями.

 

Модель Прошивки с исправлениями
NAS326 Уже доступна: Firmware V5.21(AAZF.10)C0
NAS520 Уже доступна: Firmware V5.21(AASZ.3)C0*
NAS540 Уже доступна: Firmware V5.21(AATB.7)C0
NAS542 Уже доступна: Firmware V5.21(ABAG.7)C0
ATP100 Уже доступна: Firmware V4.35(ABPS.3)C0
ATP200 Уже доступна: Firmware V4.35(ABFW.3)C0
ATP500 Уже доступна: Firmware V4.35(ABFU.3)C0
ATP800 Уже доступна: Firmware V4.35(ABIQ.3)C0
USG20-VPN Уже доступна: Firmware V4.35(ABAQ.3)C0
USG20W-VPN Уже доступна: Firmware V4.35(ABAR.3)C0
USG40 Уже доступна: Firmware V4.35(AALA.3)C0
USG40W Уже доступна: Firmware V4.35(AALB.3)C0
USG60 Уже доступна: Firmware V4.35(AAKY.3)C0
USG60W Уже доступна: Firmware V4.35(AAKZ.3)C0
USG110 Уже доступна: Firmware V4.35(AAPH.3)C0
USG210 Уже доступна: Firmware V4.35(AAPI.3)C0
USG310 Уже доступна: Firmware V4.35(AAPJ.3)C0
USG1100 Уже доступна: Firmware V4.35(AAPK.3)C0
USG1900 Уже доступна: Firmware V4.35(AAPL.3)C0
USG2200 Уже доступна: Firmware V4.35(ABAE.3)C0
VPN50 Уже доступна: Firmware V4.35(ABHL.3)C0
VPN100 Уже доступна: Firmware V4.35(ABFV.3)C0
VPN300 Уже доступна: Firmware V4.35(ABFC.3)C0
VPN1000 Уже доступна: Firmware V4.35(ABIP.3)C0
ZyWALL110 Уже доступна: Firmware V4.35(AAAA.3)C0
ZyWALL310 Уже доступна: Firmware V4.35(AAAB.3)C0
ZyWALL1100 Уже доступна: Firmware V4.35(AAAC.3)C0

*Срок поддержки NAS520 закончился, поэтому обратитесь за файлом в местную службу поддержки Zyxel.

Примечание: если у вас возникли вопросы по установке прошивки для продуктов NAS, обратитесь к разделу часто задаваемых вопросов на нашем форуме:
https://community.zyxel.com/en/discussion/8525/faq-upgrading-latest-nas-remote-code-execution-vulnerability-firmware

Если у вашего продукта NAS, в котором обнаружена уязвимость, поддержка закончилась (end-of-support) в 2016 году или ранее, то для него больше не выпускаются обновления прошивки, поэтому мы настоятельно рекомендуем для устранения уязвимости выполнить следующую инструкцию.

 

Модели с истекшим сроком поддержки Инструкция
NSA210, NSA220, NSA220+, NSA221, NSA310, NSA310S, NSA320, NSA320S, NSA325 and NSA325v2 Не оставляйте устройство подключенным к Интернету напрямую. Если возможно, подключите его к маршрутизатору для дополнительной защиты.

Обновление от 27 января 2022 г.

Недавние исследования показали, что новое вредоносное ПО BotenaGo нацелено на список устройств с известными уязвимостями CVE от нескольких производителей. Мы призываем пользователей с перечисленными выше устройствами немедленно установить соответствующие обновления или выполнить инструкцию для оптимальной защиты.


Есть вопросы?

Свяжитесь с местной техподдержкой или напишите на нашем форуме для получения дополнительной информации.


Благодарность

Спасибо Брайану Кребсу, независимому журналисту-расследователю, за сообщение нам о проблеме и CERT/CC за координацию процесса раскрытия информации.


Изменения:

2020-02-24: Первый выпуск
2020-02-26: Добавлены межсетевые экраны в список уязвимых продуктов и изменен раздел благодарностей
2020-02-27: Добавлены инструкции по установке прошивок
2020-03-04: Обновлены ссылки для скачивания прошивок межсетевых экранов
2020-03-06: Обновлены ссылки для скачивания прошивок NAS
2020-03-11: Добавлены часто задаваемые вопросы по обновлению прошивки NAS
2022-01-28: Обновлена версия прошивки для NAS326, NAS540 и NAS542; добавлен ответ на недавнее исследование вредоносного ПО BotenaGo