CVE-2020-9054

Zyxel Multiple Network-Attached Storage (NAS) Devices

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-03-25

Официальное описание

Multiple Zyxel network-attached storage (NAS) devices contain a pre-authentication command injection vulnerability, which may allow a remote, unauthenticated attacker to execute arbitrary code.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CWE-78) в веб-интерфейсе управления устройствами Zyxel NAS. Атакующий может отправить специально сформированный HTTP-запрос с командами оболочки в параметре username. Эти команды выполняются на устройстве без какой-либо аутентификации, что позволяет удаленно получить полный контроль над устройством.

Как исправить

Основной метод — обновление встроенного ПО (прошивки) устройства.

  1. Определите точную модель вашего NAS Zyxel (например, NAS326, NAS520, NAS540, NAS542).
  2. Перейдите на официальный сайт поддержки Zyxel в раздел загрузок для вашей модели: https://www.zyxel.com/global/support/download

  3. Загрузите и установите исправленную версию прошивки. Для большинства уязвимых моделей проблема была устранена в версиях V5.21(AAZF.14)C0 и новее. Убедитесь, что ваша версия не ниже указанной в патч-нотах для CVE-2020-9054.

    Процесс обновления через веб-интерфейс: * Войдите в панель управления NAS. * Перейдите в раздел Обслуживание -> Обновление встроенного ПО. * Загрузите файл новой прошивки и следуйте инструкциям мастера обновления. * Важно: После обновления устройство перезагрузится.

Временное решение

Если немедленное обновление невозможно, примите следующие меры для снижения риска:

  1. Ограничьте доступ к веб-интерфейсу управления:

    • В настройках брандмауэра NAS или корпоративного маршрутизатора запретите доступ к портам веб-интерфейса (обычно 80/HTTP и 443/HTTPS) из внешней сети (Интернет).
    • Разрешите доступ только с доверенных внутренних IP-адресов или через VPN.

  2. Отключите веб-интерфейс для WAN (если такая опция есть):

    • В настройках сети или администрирования NAS найдите параметр типа Удаленное управление или Доступ к веб-конфигурации из WAN и отключите его.

  3. Настройте правила на периметровом брандмауэре/WAF:

    • Добавьте правило, блокирующее HTTP-запросы к интерфейсу управления NAS, содержащие в параметрах (особенно в username) символы, характерные для инъекций команд (например, ;, &, |, $(), обратные кавычки).
    • Пример правила для ModSecurity (WAF): apache SecRule ARGS_NAMES "@rx username" \ "id:1001,\ phase:2,\ deny,\ status:403,\ msg:'Potential CVE-2020-9054 Exploit Attempt',\ chain" SecRule ARGS "@rx [;|&`$\\(\)]" \ "t:urlDecode,\ setvar:'tx.anomaly_score_pl2=+%{tx.critical_anomaly_score}'"
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей