Zyxel ha patchato una vulnerabilità critica (CVE-2024-7261) che permetteva agli attaccanti non autenticati di eseguire comandi OS su molti punti di accesso (AP) e router di sicurezza Zyxel. Questa vulnerabilità, scoperta da Chengchao Ai del ROIS team di Fuzhou University, affetta vari firmware di router e AP di Zyxel.
Dettagli della Vulnerabilità
La vulnerabilità (CVE-2024-7261) è un’iniezione di comandi OS che deriva dall’improprio neutralizzazione degli elementi speciali nel parametro “host” nel programma CGI di alcune versioni di AP e router di sicurezza. Questo problema può essere sfruttato inviando un cookie specialmente crafted ai dispositivi vulnerabili.
Impatto della Vulnerabilità
La vulnerabilità permette agli attaccanti non autenticati di eseguire comandi OS su vari dispositivi Zyxel, inclusi:
- Zyxel NWA1123ACv3: firmware versione 6.70(ABVT.4) e precedenti
- WAC500: firmware versione 6.70(ABVS.4) e precedenti
- WAX655E: firmware versione 7.00(ACDO.1) e precedenti
- WBE530: firmware versione 7.00(ACLE.1) e precedenti
- USG LITE 60AX: firmware versione V2.00(ACIP.2)
Patches e Mitigazioni
Zyxel ha reso disponibili patch per tutti i firmware colpiti. Gli utenti sono consigliati di aggiornare i loro dispositivi il prima possibile. Non sono state menzionate possibili workarounds o mitigazioni alternative.
Altre Vulnerabilità in Zyxel
Zyxel ha risolto sette vulnerabilità che affettano i firewall APT, USG Flex, USG Flex 50(W), e USG20(W)-VPN, destinati a piccole e medie imprese e a sedi di filiali. Queste vulnerabilità includono:
- CVE-2024-6343: permette l’esecuzione di comandi OS solo se l’attaccante ha privilegi di amministratore e è autenticato
- CVE-2024-7203: permette l’esecuzione di comandi OS solo se l’attaccante ha privilegi di amministratore e è autenticato
- CVE-2024-42059: permette l’esecuzione di comandi OS solo se l’attaccante ha privilegi di amministratore e è autenticato
- CVE-2024-42060: permette l’esecuzione di comandi OS solo se l’attaccante ha privilegi di amministratore e è autenticato
Le rimanenti tre vulnerabilità (CVE-2024-42057, CVE-2024-42058, CVE-2024-42061) possono essere sfruttate da un attaccante non autenticato per eseguire comandi OS, causare un’interruzione del servizio (DoS), o ottenere informazioni browser-based dopo aver ingannato l’utente a visitare una URL craftata con il payload XSS.
Buffer Overflow in Zyxel
Zyxel ha anche risolto una vulnerabilità di overflow di buffer (CVE-2024-5412) nel file “libclinkc” di alcuni dispositivi 5G NR/4G LTE CPE, DSL/Ethernet CPE, fiber ONT, WiFi extender, e router di sicurezza. Questa vulnerabilità può essere sfruttata da un attaccante non autenticato per causare una condizione di interruzione del servizio (DoS) inviando una richiesta HTTP specialmente crafted a un dispositivo vulnerabile.
Patches Disponibili
Le patch per i dispositivi colpiti sono disponibili immediatamente per un numero limitato di dispositivi, mentre per la maggior parte dei dispositivi è necessario contattare il team di supporto Zyxel.
Consigli per gli Utenti
- Per gli utenti che hanno ricevuto il dispositivo da un ISP: è consigliabile contattare il team di supporto dell’ISP direttamente, poiché il dispositivo potrebbe avere impostazioni personalizzate.
- Per gli ISP: contattare i rappresentanti di vendita o servizio Zyxel per ulteriori dettagli.
Zyxel ha risolto una serie di vulnerabilità che affettano i suoi dispositivi di rete, inclusa una vulnerabilità critica che permetteva l’esecuzione di comandi OS su router e punti di accesso senza autenticazione. Gli utenti sono consigliati di aggiornare i loro dispositivi al più presto per evitare possibili attacchi.
Fonte: https://www.helpnetsecurity.com/2024/09/03/cve-2024-7261/
