Zyxel telah merilis pembaruan keamanan untuk mengatasi kerentanan kritis yang memengaruhi beberapa model router bisnisnya, yang berpotensi memungkinkan penyerang yang tidak diautentikasi untuk melakukan injeksi perintah OS.
Kelemahannya, yang dilacak sebagai CVE-2024-7261 dan diberi skor CVSS v3 sebesar 9,8 (“kritis”), merupakan kesalahan validasi input yang disebabkan oleh penanganan data yang diberikan pengguna secara tidak tepat, yang memungkinkan penyerang jarak jauh untuk mengeksekusi perintah sembarangan pada sistem operasi host.
“Netralisasi yang tidak tepat dari elemen-elemen khusus dalam parameter “host” dalam program CGI dari beberapa versi AP dan router keamanan dapat memungkinkan penyerang yang tidak diautentikasi untuk mengeksekusi perintah OS dengan mengirimkan cookie yang dibuat ke perangkat yang rentan,” – memperingatkan Zyxel.
Titik akses (AP) Zyxel yang terkena dampak CVE-2024-7261 adalah sebagai berikut:
- Seri NWA: NWA50AX, NWA50AX PRO, NWA55AXE, NWA90AX, NWA90AX PRO, NWA110AX, NWA130BE, NWA210AX, NWA220AX-6E | semua versi hingga 7.00 rentan, tingkatkan ke 7.00 (ABYW.2) dan yang lebih baru
- NWA1123-AC PRO | semua versi hingga 6.28 rentan, tingkatkan ke 6.28 (ABHD.3) dan yang lebih baru
- NWA1123ACv3, WAC500, WAC500H | semua versi hingga 6.70 rentan, tingkatkan ke 6.70 (ABVT.5) dan yang lebih baru
- Seri WAC: WAC6103D-I, WAC6502D-S, WAC6503D-S, WAC6552D-S, WAC6553D-E | semua versi hingga 6.28 rentan, tingkatkan ke 6.28 (AAXH.3) dan yang lebih baru
- Seri WAX: WAX300H, WAX510D, WAX610D, WAX620D-6E, WAX630S, WAX640S-6E, WAX650S, WAX655E | semua versi hingga 7.00 rentan, tingkatkan ke 7.00 (ACHF.2) dan yang lebih baru
- Seri WBE: WBE530, WBE660S | semua versi hingga 7.00 rentan, tingkatkan ke 7.00 (ACLE.2) dan yang lebih baru
Zyxel mengatakan bahwa router keamanan USG LITE 60AX yang menjalankan V2.00(ACIP.2) juga terdampak, tetapi model ini secara otomatis diperbarui oleh cloud ke V2.00(ACIP.3), yang mengimplementasikan patch untuk CVE-2024-7261.
Perbaikan Zyxel lainnya
Zyxel juga telah mengeluarkan pembaruan keamanan untuk beberapa kelemahan serius pada firewall APT dan USG FLEX. Ringkasannya dapat ditemukan di bawah ini:
- CVE-2024-6343: Buffer overflow dalam program CGI dapat menyebabkan DoS oleh admin terautentikasi yang mengirim permintaan HTTP yang dibuat.
- CVE-2024-7203: Injeksi perintah pasca-autentikasi memungkinkan admin yang diautentikasi untuk mengeksekusi perintah OS melalui perintah CLI yang dibuat.
- CVE-2024-42057: Penyuntikan perintah dalam IPSec VPN memungkinkan penyerang yang tidak diautentikasi untuk mengeksekusi perintah OS dengan nama pengguna panjang yang dibuat dalam mode User-Based-PSK.
- CVE-2024-42058: Dereferensi penunjuk nol dapat menyebabkan DoS melalui paket yang dibuat khusus yang dikirim oleh penyerang yang tidak diautentikasi.
- CVE-2024-42059: Injeksi perintah pasca-autentikasi memungkinkan admin yang diautentikasi untuk mengeksekusi perintah OS dengan mengunggah berkas bahasa terkompresi yang dibuat melalui FTP.
- CVE-2024-42060: Injeksi perintah pasca-autentikasi memungkinkan admin yang diautentikasi untuk mengeksekusi perintah OS dengan mengunggah berkas perjanjian pengguna internal yang dibuat.
- CVE-2024-42061: XSS yang tercermin dalam “dynamic_script.cgi” dapat memungkinkan penyerang untuk mengelabui pengguna agar mengunjungi URL yang dibuat, yang berpotensi membocorkan informasi berbasis browser.
Yang paling menarik dari hal di atas adalah CVE-2024-42057 (CVSS v3: 8.1, “tinggi”), yang merupakan kerentanan injeksi perintah dalam fitur VPN IPSec yang dapat dieksploitasi dari jarak jauh tanpa autentikasi.
Tingkat keparahannya berkurang dengan persyaratan konfigurasi khusus yang diperlukan untuk eksploitasi, termasuk mengonfigurasi perangkat dalam mode autentikasi User-Based-PSK dan memiliki pengguna dengan nama pengguna yang panjangnya lebih dari 28 karakter.
Untuk detail lebih lanjut tentang firewall yang terkena dampak, lihat Saran Zyxel di sini.
