CVE: CVE-2020-9054
Сводка
В выпускаемых Zyxel системах хранения NAS (Network Attached Storage) и межсетевых экранах обнаружена уязвимость удаленного выполнения кода. Мы рекомендуем владельцам этих устройств как можно быстрее установить соответствующие хотфиксы/стандартные патчи либо выполнить инструкции по устранению этой уязвимости для обеспечения оптимальной защиты.
Как проявляется эта уязвимость?
Уязвимость удаленного выполнения кода (remote code execution) обнаружена в программе weblogin.cgi, которая используется в выпускаемых Zyxel системах хранения NAS и межсетевых экранах. Ошибка при аутентификации пользователей, выполняемой с помощью этой программы, позволяет хакерам удаленно запускать на этих продуктах выполнение команд их операционной системы.
У каких продуктов есть эта уязвимость и как ее устранить?
После тщательного анализа всех наших продуктовых линеек мы обнаружили, что эта уязвимость затрагивает следующие продукты, выполняющие определенную версию прошивки;
Модели NAS, использующие версию прошивки 5.21 или более раннюю.
Межсетевые экраны серий UTM, ATP и VPN, использующие прошивку, начиная с версии ZLD V4.35 Patch 0 и до версии ZLD V4.35 Patch 2. Межсетевые экраны, которые используют прошивку версии ZLD V4.35 Patch 0, НЕ ПОДВЕРЖЕНЫ этой уязвимости.
В следующей таблице перечислены продукты с идентифицированной уязвимостью, для которых еще не истек срок гарантии и срок поддержки. Для обеспечения оптимальной защиты мы настоятельно рекомендуем пользователям этих продуктов сразу же установить на них сначала хотфиксы, а затем, стандартные патчи прошивки (когда они будут доступны).
| Модель с уязвимостью | Доступность хотфикса | Доступность стандартного патча |
|---|---|---|
| NAS326 | Март 2020 года. Firmware V5.21(AAZF.7)C0 | |
| NAS520 | Март 2020 года. Firmware V5.21(AASZ.3)C0 | |
| NAS540 | Март 2020 года. Firmware V5.21(AATB.4)C0 | |
| NAS542 | Март 2020 года. Firmware V5.21(ABAG.4)C0 | |
| ATP100 | N/A | Доступен сейчас. Firmware V4.35(ABPS.3)C0 |
| ATP200 | N/A | Доступен сейчас. Firmware V4.35(ABFW.3)C0 |
| ATP500 | N/A | Доступен сейчас. Firmware V4.35(ABFU.3)C0 |
| ATP800 | N/A | Доступен сейчас. Firmware V4.35(ABIQ.3)C0 |
| USG20-VPN | N/A | Доступен сейчас. Firmware V4.35(ABAQ.3)C0 |
| USG20W-VPN | N/A | Доступен сейчас. Firmware V4.35(ABAR.3)C0 |
| USG40 | N/A | Доступен сейчас. Firmware V4.35(AALA.3)C0 |
| USG40W | N/A | Доступен сейчас. Firmware V4.35(AALB.3)C0 |
| USG60 | N/A | Доступен сейчас. Firmware V4.35(AAKY.3)C0 |
| USG60W | N/A | Доступен сейчас. Firmware V4.35(AAKZ.3)C0 |
| USG110 | N/A | Доступен сейчас. Firmware V4.35(AAPH.3)C0 |
| USG210 | N/A | Доступен сейчас. Firmware V4.35(AAPI.3)C0 |
| USG310 | N/A | Доступен сейчас. Firmware V4.35(AAPJ.3)C0 |
| USG1100 | N/A | Доступен сейчас. Firmware V4.35(AAPK.3)C0 |
| USG1900 | N/A | Доступен сейчас. Firmware V4.35(AAPL.3)C0 |
| USG2200 | N/A | Доступен сейчас. Firmware V4.35(ABAE.3)C0 |
| VPN50 | N/A | Доступен сейчас. Firmware V4.35(ABHL.3)C0 |
| VPN100 | N/A | Доступен сейчас. Firmware V4.35(ABFV.3)C0 |
| VPN300 | N/A | Доступен сейчас. Firmware V4.35(ABFC.3)C0 |
| VPN1000 | N/A | Доступен сейчас. Firmware V4.35(ABIP.3)C0 |
| ZyWALL110 | N/A | Доступен сейчас. Firmware V4.35(AAAA.3)C0 |
| ZyWALL310 | N/A | Доступен сейчас. Firmware V4.35(AAAB.3)C0 |
| ZyWALL1100 | N/A | Доступен сейчас. Firmware V4.35(AAAC.3)C0 |
Примечание: Если у вас возникнут какие-то вопросы по инсталляции хотфиксов или стандартного патча прошивки, то, пожалуйста, посетите наш форум Home Forum: https://homeforum.zyxel.com для продуктов NAS либо наш форум Security Forum https://businessforum.zyxel.com/categories/security для межсетевых экранов.
Если у вашего продукта NAS, в котором обнаружена уязвимость, поддержка закончилась (end-of-support) в 2016 году или ранее, то для него больше не выпускаются обновления прошивки, поэтому мы настоятельно рекомендуем для устранения уязвимости выполнить следующую инструкцию:
| Модели с уязвимость, у которых закончился срок поддержки | Инструкции |
|---|---|
| NSA210, NSA220, NSA220+, NSA221, NSA310, NSA310S, NSA320, NSA320S, NSA325 and NSA325v2 | Отключите NAS от Интернета, если она подключена к нему напрямую. Если есть возможность, для дополнительной защиты, то подключите NAS к маршрутизатору с функциями безопасности либо к межсетевому экрану. |
У вас есть вопрос или совет?
Если вам нужна дополнительная помощь, то обратитесь в местную службу поддержки или торговому представителю Zyxel. Если вы обнаружили уязвимость, то напишите нам об этом по адресу: security@zyxel.com.tw и мы сразу свяжемся с вами.
Благодарности
Мы благодарим независимого журналиста и исследователя Бриана Кребса (Brian Krebs), который сообщил об этой проблеме нам и CERT/CC для координации процедуры оповещения.
Revision history
2020-02-24: Initial release
2020-02-26: В список затронутых уязвимостью продуктов добавлены межсетевые экраны и исправлен раздел "Благодарности".
2020-02-27: Добавлены инструкции по инсталляции хотфиксов и стандартных патчей прошивки.
2020-03-04: Обновлены ссылки для загрузки прошивки для межсетевых экранов.