CVE-2017-18368

Zyxel P660HN-T1A Routers

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2023-08-07

Официальное описание

Zyxel P660HN-T1A routers contain a command injection vulnerability in the Remote System Log forwarding function, which is accessible by an unauthenticated user and exploited via the remote_host parameter of the ViewLog.asp page.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2017-18368 представляет собой критическую уязвимость типа Command Injection (инъекция команд) в веб-интерфейсе роутеров Zyxel P660HN-T1A (версия прошивки v1). Проблема локализована в функции пересылки системного журнала (Remote System Log) на странице ViewLog.asp.

Уязвимость возникает из-за отсутствия надлежащей фильтрации входных данных в параметре remote_host. Неавторизованный злоумышленник может отправить специально сформированный HTTP-запрос, содержащий метасимволы оболочки (например, ;, &, |), что позволяет выполнять произвольные системные команды на устройстве с правами root. Это ведет к полному компрометации устройства, возможности установки бэкдоров и включения роутера в состав ботнетов (например, Mirai).

Как исправить

Единственным надежным способом полного устранения уязвимости является обновление программного обеспечения устройства до версии, в которой данная ошибка исправлена.

  1. Скачайте актуальную версию прошивки (не ниже v2) с официального портала поддержки Zyxel.
  2. Перейдите в веб-интерфейс роутера (обычно http://192.168.1.1).
  3. Перейдите в раздел Maintenance -> Tools -> Firmware Upgrade.
  4. Выберите скачанный файл и нажмите Upgrade.
  5. Не выключайте устройство до завершения процесса и перезагрузки.

Временные меры

Если обновление прошивки невозможно в данный момент, необходимо принять меры по ограничению векторов атаки:

  1. Отключение удаленного управления (WAN Management): Убедитесь, что доступ к веб-интерфейсу роутера закрыт со стороны внешней сети (Internet). В настройках Firewall или Remote Management установите доступ к HTTP/HTTPS только для доверенных IP-адресов локальной сети (LAN).

  2. Использование межсетевого экрана: Если устройство находится за вышестоящим файрволом, заблокируйте входящий трафик на порты управления (80, 443).

  3. Смена стандартных учетных данных: Хотя уязвимость эксплуатируется без аутентификации, изменение пароля администратора является обязательной гигиенической мерой.

  4. Сброс и изоляция: В случае подозрения на взлом, выполните полный сброс устройства к заводским настройкам кнопкой Reset.

# Пример команды для проверки доступности порта управления извне (выполнять с внешнего хоста)
nmap -p 80,443 <IP_адрес_роутера>
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей