آسیبپذیری روز صفرم اخیری که در دستگاههای ذخیرهساز متصل به شبکه (NAS) شرکت زایکسل (Zyxel) کشف شده است، بیش از ۲۰ فایروال این فروشنده را نیز تحت تأثیر قرار داده است. این نقص امنیتی که با شناسهی CVE CVE-2020-9054 ردیابی میشود، میتواند از راه دور و بدون نیاز به تأیید اعتبار، برای اجرای کد دلخواه در دستگاههای آسیبدیده مورد بهرهبرداری قرار بگیرد.
به گفتهی محققان، این اشکال بهدلیل پاکسازی (sanitized) نادرست پارامتر نام کاربری در برنامهی weblogin.cgi CGI وجود دارد. بنابراین، مهاجم میتواند با واردکردن کاراکترهای خاصی در نام کاربری، از این نقص برای تزریق دستور بهرهبرداری کند. درحالیکه برنامهی weblogin.cgi بهعنوان ریشه (root) اجرا نمیشود، اما دستگاههای آسیبپذیر شامل یک ابزار setuid هستند که مهاجم میتواند آن را برای اجرای دستورات دارای امتیازات ریشه مورد بهرهبرداری قرار دهد.
این آسیبپذیری را میتوان با ارسال یک درخواست طراحیشدهی HTTP POST یا GET به یک دستگاه آسیبپذیر مورد بهرهبرداری قرار داد. حتی اگر دستگاه مستقیماً در معرض اینترنت قرار نداشته، اما توسط یک فایروال محافظت شود، درصورت هدایت کاربر به یک وبسایت مخرب، هنوز امکان بهرهبرداری وجود دارد.
اوایل هفتهی جاری، زایکسل مشاورهای را در مورد این آسیبپذیری منتشر و اعلام کرد که بیش از ۱۲ دستگاه ذخیرهساز متصل به شبکه، از جمله ۱۰ دستگاهی که دیگر از آنها پشتیبانی نمیشود، تحت تأثیر این اشکال قرار دارند. پس از آن، این فروشنده با انتشار مشاورهی دیگری، فهرست دستگاههای آسیبپذیر را بهروز کرد تا در مجموع، ۲۳ فایروالUTM ، ATP و VPN آسیبپذیر را گزارش دهد.
به گفتهی زایکسل، این نقص نسخههای ZLD V4.35 Patch 0 تا ZLD V4.35 Patch 2 ثابتافزار را تحت تأثیر قرار میدهد. لیست دستگاههای آسیبدیده درحالحاضر شامل فایروالهای ATP100، ATP200، ATP500، ATP800، USG20-VPN، USG20W-VPN، USG40، USG40W، USG60، USG60W، USG110، USG210، USG310، USG1100، USG1900، USG1900، VPN، VPN300، VPN1000، ZyWALL110، ZyWALL310 و ZyWALL1100 میباشد.
طبق گزارشها، کد بهرهبرداری از این آسیبپذیری درحالحاضر در انجمنهای زیرزمینی نیز موجود بوده و مورد توجه چندین گروه جرایم سایبری، از جمله توسعهدهندهی تروجان Emotet قرار گرفته است.
برای رفع این مشکل، زایکسل وصلههایی را برای تمامی دستگاههای پشتیبانیشده منتشر کرده که شامل دستگاههای فایروال اشارهشده و نیز، دستگاههای ذخیرهساز NAS326 ، NAS520 ، NAS540 و NAS542 میباشد. به کاربرانی که نمیتوانند وصلههای موجود را اعمال کنند، توصیه میشود تا دستگاههای خود را به اینترنت متصل نکنند تا در معرض حملات مخرب قرار نگیرند.