CVE-2022-30525 Zyxel 防火墙远程命令注入漏洞

摘要

合勤科技（ZyXEL）是国际知名品牌的网络宽带系统及解决方案的供应商，成立于1989年，目前是台湾证交所上市公司（2391），总部设于台湾新竹科学园区。官网：http://www.zyxel.cn。

Zyxel USG FLEX 100(W) 固件版本 5.00 至 5.21 补丁 1、USG FLEX 200 固件版本 5.00 至 5.21 补丁 1、USG FLEX 500 固件版本 5.00 至 5.21 补丁 1、USG FLEX 700 的 CGI 程序中的操作系统命令注入漏洞固件版本 5.00 到 5.21 补丁 1，USG FLEX 50(W) 固件版本 5.10 到 5.21 补丁 1，USG20(W)-VPN 固件版本 5.10 到 5.21 补丁 1，ATP 系列固件版本 5.10 到 5.21 补丁 1，VPN 系列固件版本4.60 到 5.21 补丁 1，该漏洞存在于某些Zyxel防火墙版本的 CGI 程序中，允许在未经身份验证的情况下在受影响设备上以nobody用户身份执行任意命令。这可能允许攻击者修改特定文件，然后在易受攻击的设备上执行一些操作系统命令。

评分

2022 年 4 月 28 日，合勤发布了修复 CVE-2022-30525 的固件。Rapid7 发现的该漏洞是一个未经身份验证的远程命令注入漏洞，影响某些 Zyxel 防火墙的管理 Web 界面。利用此漏洞的攻击者可以将远程命令执行为nobody. 该漏洞评分为 CVSSv3 9.8。

影响范围

下表包含受影响的型号和固件版本。

受影响的模型	受影响的固件版本
USG FLEX 100、100W、200、500、700	ZLD5.00 至 ZLD5.21 补丁 1
USG20-VPN、USG20W-VPN	ZLD5.10 至 ZLD5.21 补丁 1
ATP 100、200、500、700、800	ZLD5.10 至 ZLD5.21 补丁 1

2022 年 5 月 12 日，Rapid7 发布了针对此漏洞的公告和Metasploit 模块。Shodan的观察表明，相当多的用户已经升级了他们的防火墙。但是，仍有一部分互联网暴露资产可被野外利用。

漏洞分析

该漏洞源于使用os.system攻击者提供的数据。攻击是通过/ztp/cgi-bin/handler端点发起的。handler是一个处理各种命令的 Python 脚本。我们使用固件版本 5.21 的测试Zyxel USG FLEX 100使用handler.py带有以下支持的命令。

 

supported_cmd = ["ping", "dnsanswer", "ps", "peek", "kill", "pcap", "traceroute", \
  "atraceroute", "iptables", "getorchstat", \
  "getInterfaceName_out", "getInterfaceInfo", \
  #"getSingleInterfaceInfo", "getAllInterfaceInfo", \
  #"getInterfaceNameAll", "getInterfaceNameMapping", \
  "nslookup", "iproget", \
  "diagnosticinfo", "networkUnitedTest", \
  #"setRemoteAssistActive", "getRemoteAssist", \
  "setRemoteZyxelSupport", "getRemoteZyxelSupport", \
  "getWanPortList", "getWanPortSt", "setWanPortSt", "getZTPurl", "getWanConnSt", \
  "getUSBSt","setUSBmount","setUSBactive", \
  "getDiagnosticInfoUsb", \
  "getDeviceCloudInfo", "getpacketcapconf", "getpacketcapst", "packetcapstart", "packetcapend", "packetcapremovefile", \
  "getlanguagest","setlanguage"
]

这些命令通过设计为未经身份验证的用户提供了各种有趣的选项。易受 CVE-2022-30525 攻击的命令是getWanPortSt.​​​​​​​

elif req["command"] == "getWanPortSt":
    reply = lib_wan_setting.getWanPortSt()

我们可以看到getWanPortSt调用了lib_wan_setting.getWanPortSt. 该getWanPortSt命令需要四个参数：vlanid、proto、data和vlan_tagged。此外，它接受一个mtu参数。两者都data可以mtu被利用来进行命令注入。data实际上包含一个额外的 JSON blob，因此更容易利用mtu.

'''
***************************************************************************
* setwanport function
* @param port: port for setting
* @param vlanid: vlan id , 0 for default disalbing vlan
* @param proto: type of wan (dhcp, static, pppoe)
* @param data: detail setting for different port type
*
* @return reply{
*               "code": ,
*               "message": ,
*               "result": {'ZTPurl':"xx"}
*          }
***************************************************************************
'''
def setWanPortSt(req):

    reply = {}
    vlan_tagged = ''
    logging.info(req)
    port = req["port"].strip()

    vlanid = req["vlanid"]
    proto = req["proto"]
    data = req["data"]
    vlan_tagged = req["vlan_tagged"]
…

最终，经过一定程度的验证，所有提供的参数都组合成一个命令并执行。

​​​​​​​

    cmdLine += extname + ' ' + port.lower() + ' ' + data['username'] + ' ' + data['password'] \
        + ' ' + data['auth_type'] \
        + ' ' + data['ipaddr'] + ' ' + data['gateway'] \
        + ' ' + data['firstDnsServer'] + ' ' + req['mtu']
    if vlan_tagged == '1':
        cmdLine += ' ' + vlanid
    cmdLine += ' >/dev/null 2>&1'
    
logging.info("cmdLine = %s" % cmdLine)
with open("/tmp/local_gui_write_flag", "w") as fout:
    fout.write("1");

response = os.system(cmdLine) 
logging.info(response)

漏洞复现

https://youtu.be/x8Vzq9tm47c

CVE-2022-30525 Zyxel 防火墙远程命令注入

本地复现

相关POC及检测工具关注公众号401SecNote后台回复CVE-2022-30525获取

修复建议

防火墙的日志记录并没有提供任何有用的洞察力。受影响的防火墙确实支持诊断功能，但在生产环境中运行并不可取。如果可能，建议监控系统入口和出口是否存在异常行为。以下 Suricata 规则应有助于在该mtu字段用于漏洞利用时识别漏洞利用：

​​​​​​​

alert http any any -> any any ( \
    msg:"Possible Zyxel ZTP setWanPortSt mtu Exploit Attempt"; \
    flow:to_server; \
    http.method; content:"POST"; \
    http.uri; content:"/ztp/cgi-bin/handler"; \
    http.request_body; content:"setWanPortSt"; \
    http.request_body; content:"mtu"; \
    http.request_body; pcre:"/mtu["']\s*:\s*["']\s*[^0-9]+/i";
    classtype:misc-attack; \
    sid:221270;)

尽快更新受影响的防火墙。受影响的防火墙都支持自动更新，但需要启用该功能。建议立即启用自动更新。最后，在理想情况下，管理 Web 界面不会暴露在互联网上。如果可能，请禁用 WAN 访问。如果这不可能，请尝试强制执行严格的 IP 允许列表。

https://www.zyxel.com/support/Zyxel-security-advisory-for-OS-command-injection-vulnerability-of-firewalls.shtml

参考链接：

https://www.zyxel.com/support/Zyxel-security-advisory-for-OS-command-injection-vulnerability-of-firewalls.shtml

https://attackerkb.com/topics/LbcysnvxO2/cve-2022-30525/rapid7-analysis?referrer=notificationEmail

https://nvd.nist.gov/vuln/detail/CVE-2022-30525

声明：文章中所涉及工具仅限学习记录使用，请勿用于非法用途，如有侵权，请联系后台删除。