Your browser either does not support JavaScript or you have turned JavaScript off.

Заявление Zyxel относительно уязвимости, связанной с удалённым выполнением кода, его систем NAS и межсетевых экранов

CVE: CVE-2020-9054


Сводка

В выпускаемых Zyxel системах хранения NAS (Network Attached Storage) и межсетевых экранах обнаружена уязвимость удаленного выполнения кода.  Мы рекомендуем владельцам этих устройств как можно быстрее установить соответствующие хотфиксы/стандартные патчи либо выполнить инструкции по устранению этой уязвимости для обеспечения оптимальной защиты.


Как проявляется эта уязвимость?

Уязвимость удаленного выполнения кода (remote code execution) обнаружена в программе weblogin.cgi, которая используется в выпускаемых Zyxel системах хранения NAS и межсетевых экранах. Ошибка при аутентификации пользователей, выполняемой с помощью этой программы, позволяет хакерам удаленно запускать на этих продуктах выполнение команд их операционной системы.


У каких продуктов есть эта уязвимость и как ее устранить?

После тщательного анализа всех наших продуктовых линеек мы обнаружили, что эта уязвимость затрагивает следующие продукты, выполняющие определенную версию прошивки;

Модели NAS, использующие версию прошивки 5.21 или более раннюю.

Межсетевые экраны серий UTM, ATP и VPN, использующие прошивку, начиная с версии ZLD V4.35 Patch 0 и до версии ZLD V4.35 Patch 2. Межсетевые экраны, которые используют прошивку версии ZLD V4.35 Patch 0, НЕ ПОДВЕРЖЕНЫ этой уязвимости.

В следующей таблице перечислены продукты с идентифицированной уязвимостью, для которых еще не истек срок гарантии и срок поддержки. Для обеспечения оптимальной защиты мы настоятельно рекомендуем пользователям этих продуктов сразу же установить на них сначала хотфиксы, а затем, стандартные патчи прошивки (когда они будут доступны).

 

Модель с уязвимостью
Доступность хотфикса  
Доступность стандартного патча
NAS326 Март 2020 года. Firmware V5.21(AAZF.7)C0
NAS520 Март 2020 года. Firmware V5.21(AASZ.3)C0
NAS540 Март 2020 года. Firmware V5.21(AATB.4)C0
NAS542 Март 2020 года. Firmware V5.21(ABAG.4)C0
ATP100 N/A Доступен сейчас. Firmware V4.35(ABPS.3)C0
ATP200 N/A Доступен сейчас. Firmware V4.35(ABFW.3)C0
ATP500 N/A Доступен сейчас. Firmware V4.35(ABFU.3)C0
ATP800 N/A Доступен сейчас. Firmware V4.35(ABIQ.3)C0
USG20-VPN N/A Доступен сейчас. Firmware V4.35(ABAQ.3)C0
USG20W-VPN N/A Доступен сейчас. Firmware V4.35(ABAR.3)C0
USG40 N/A Доступен сейчас. Firmware V4.35(AALA.3)C0
USG40W N/A Доступен сейчас. Firmware V4.35(AALB.3)C0
USG60 N/A Доступен сейчас. Firmware V4.35(AAKY.3)C0
USG60W N/A Доступен сейчас. Firmware V4.35(AAKZ.3)C0
USG110 N/A Доступен сейчас. Firmware V4.35(AAPH.3)C0
USG210 N/A Доступен сейчас. Firmware V4.35(AAPI.3)C0
USG310 N/A Доступен сейчас. Firmware V4.35(AAPJ.3)C0
USG1100 N/A Доступен сейчас. Firmware V4.35(AAPK.3)C0
USG1900 N/A Доступен сейчас. Firmware V4.35(AAPL.3)C0
USG2200 N/A Доступен сейчас. Firmware V4.35(ABAE.3)C0
VPN50 N/A Доступен сейчас. Firmware V4.35(ABHL.3)C0
VPN100 N/A Доступен сейчас. Firmware V4.35(ABFV.3)C0
VPN300 N/A Доступен сейчас. Firmware V4.35(ABFC.3)C0
VPN1000 N/A Доступен сейчас. Firmware V4.35(ABIP.3)C0
ZyWALL110 N/A Доступен сейчас. Firmware V4.35(AAAA.3)C0
ZyWALL310 N/A Доступен сейчас. Firmware V4.35(AAAB.3)C0
ZyWALL1100 N/A Доступен сейчас. Firmware V4.35(AAAC.3)C0

Примечание: Если у вас возникнут какие-то вопросы по инсталляции хотфиксов или стандартного патча прошивки, то, пожалуйста, посетите наш форум Home Forum: https://homeforum.zyxel.com для продуктов NAS либо наш форум Security Forum https://businessforum.zyxel.com/categories/security для межсетевых экранов.

Если у вашего продукта NAS, в котором обнаружена уязвимость, поддержка закончилась (end-of-support) в 2016 году или ранее, то для него больше не выпускаются обновления прошивки, поэтому мы настоятельно рекомендуем для устранения уязвимости выполнить следующую инструкцию:

 

Модели с уязвимость, у которых закончился срок поддержки Инструкции
NSA210, NSA220, NSA220+, NSA221, NSA310, NSA310S, NSA320, NSA320S, NSA325 and NSA325v2 Отключите NAS от Интернета, если она подключена к нему напрямую. Если есть возможность, для дополнительной защиты, то подключите NAS к маршрутизатору с функциями безопасности либо к межсетевому экрану.

У вас есть вопрос или совет?

Если вам нужна дополнительная помощь, то обратитесь в местную службу поддержки или торговому представителю Zyxel.  Если вы обнаружили уязвимость, то напишите нам об этом по адресу: security@zyxel.com.tw и мы сразу свяжемся с вами.


Благодарности

Мы благодарим независимого журналиста и исследователя Бриана Кребса (Brian Krebs), который сообщил об этой проблеме нам и CERT/CC для координации процедуры оповещения.

Revision history

2020-02-24: Initial release
2020-02-26: В список затронутых уязвимостью продуктов добавлены межсетевые экраны и исправлен раздел "Благодарности".
2020-02-27: Добавлены инструкции по инсталляции хотфиксов и стандартных патчей прошивки.
2020-03-04: Обновлены ссылки для загрузки прошивки для межсетевых экранов.