台灣網通廠商合勤(Zyxel)20多款NAS及網路防火牆、VPN裝置,遭安全研究人員發現韌體存在驗證前指令注入(pre-authentication command injection)的高風險漏洞,可能給駭客遠端存取執行任意程式碼的機會。

編號CVE-2020-9054的漏洞,是由安全廠商Hold Security研究人員Alex Holden發現,它出現在合勤產品韌體中用於網頁驗證的Weblogin.cgi元件中,屬於「通用缺陷列表」(Common Weakness Enumeration,CWE)編號78的OS指令特殊元素的不當中和(Improper Neutralization of Special Elements used in an OS Command)。

卡內基美隆大學電腦緊急回應小組(Computer Emergent Response Team, CERT)協力中心(CERT-CC)研究人員解釋,多項合勤產品是利用weblogin.cgi來達成驗證。但這支程式卻未能適當檢驗輸入字串的username參數。因此如果這個參數包含了特定字元的話可能遭注入指令,並利用網頁伺服器權限在合勤裝置上執行。

雖然網頁伺服器並未具備根用戶權限,但許多合勤裝置上支援setuid,讓任何指令都能以根用戶或管理員權限執行。遠端攻擊者可傳送改造的HTTP POST或GET呼叫,即可在合勤設備上以根權限執行惡意程式碼。用戶只要被誘使連上惡意網站就可能被注入後門程式或劫持。該漏洞CVSS v3.0風險評分為最高的10分。

網路上已經有可開採本項漏洞的程式碼,CERT-CC並製作了概念驗證程式證明攻擊的可能性。

合勤網站列出20多款受影響的NAS、防火牆及VPN設備,同時也發佈更新版韌體以修補漏洞。

但是若合勤已不支援的產品機型,就無法安裝更新版韌體。此外,CERT-CC也提醒,由於這些韌體是經由較不安全的FTP提供,而且只以checksum而非加密簽章驗證,因此有可能讓駭客控制的DNS攔截,而導致用戶下載不安全的韌體。

對於尚未能或無法更新韌體的產品用戶,CERT-CC建議不要讓裝置直接連向網際網路,或關閉80/TCP 及443/TCP傳輸埠。

【更新資訊】合勤美國網站原先已經對此發布安全性公告,在3月3日,臺灣合勤網站也基於此次事件公布漏洞修補方案公告,提供受影響產品的新版韌體與下載資訊。

對於CERT/CC所提及的FTP資安風險,合勤後續也做出回應,表示已經將這個情況納入網站改版的專案工作,未來會採以加密驗證的方式提供韌體。

合勤也補充說明,他們在防火牆產品線正式版韌體提供的做法上,額外加入多項保護措施:包含韌體更新資訊是由原廠伺服器主動推播到設備上,通知用戶下載;此外,用戶也要註冊合勤的會員,才能取得韌體,用戶若透過這個方式更新防火牆,就不需要特別再經由FTP伺服器下載韌體。再者,這些韌體採用了防竄改機制,若是被修改也無法安裝到防火牆上。他們也規畫日後發布緊急修補程式時,比照這種派送機制提供。


Advertisement

更多 iThome相關內容