Zyxel a publié des mises à jour de sécurité pour remédier à une vulnérabilité critique affectant plusieurs modèles de ses routeurs d’entreprise, permettant potentiellement à des attaquants non authentifiés d’effectuer une injection de commandes du système d’exploitation.
La faille, identifiée comme CVE-2024-7261 et attribuée un score CVSS v3 de 9,8 (« critique »), est une erreur de validation d’entrée causée par une mauvaise gestion des données fournies par l’utilisateur, permettant aux attaquants distants d’exécuter des commandes arbitraires sur le système d’exploitation hôte.
« La neutralisation incorrecte d’éléments spéciaux dans le paramètre « hôte » dans le programme CGI de certaines versions de points d’accès et de routeurs de sécurité pourrait permettre à un attaquant non authentifié d’exécuter des commandes du système d’exploitation en envoyant un cookie contrefait à un périphérique vulnérable », prévient Zyxel.
Les points d’accès (AP) Zyxel impactés par CVE-2024-7261 sont les suivants:
- Série NWA: NWA50AX, NWA50AX PRO, NWA55AXE, NWA90AX, NWA90AX PRO, NWA110AX, NWA130BE, NWA210AX, NWA220AX-6E | toutes les versions jusqu’à la version 7.00 sont vulnérables, passez à la version 7.00(ABYW.2) et plus tard
- NWA1123-AC PRO / toutes les versions jusqu’à 6.28 sont vulnérables, passez à 6.28 (ABHD.3) et plus tard
- NWA1123 AC v 3, WAS 500, WAC500H / toutes les versions jusqu’à 6.70 sont vulnérables, passez à 6.70(ENVIRON.5) et plus tard
- Série WAC: WAC6103D-I, WAC6502D-S, WAC6503D-S, WAC6552D-S, WAC6553D-E | toutes les versions jusqu’à la version 6.28 sont vulnérables, passez à la version 6.28(AAXH.3) et plus tard
- Série WAX: WAX300H, WAX510D, WAX610D, WAX620D-6E, WAX630S, WAX640S-6E, WAX650S, WAX655E | toutes les versions jusqu’à 7.00 sont vulnérables, passez à 7.00 (ACHF.2) et plus tard
- Série WB: WB 530, WBE660S / toutes les versions jusqu’à 7.00 sont vulnérables, passez à 7.00(ACLE.2) et plus tard
Zyxel indique que le routeur de sécurité USG LITE 60AX exécutant la version 2.00(ACIP.2) est également impacté, mais ce modèle est automatiquement mis à jour par cloud vers la V2.00 (ACIP.3), qui implémente le correctif pour CVE-2024-7261.
Plus de correctifs pour Zyxel
Zyxel a également publié des mises à jour de sécurité pour plusieurs failles de gravité élevée dans les pare-feu APT et USG FLEX. Un résumé peut être trouvé ci-dessous:
- CVE-2024-6343: Un dépassement de tampon dans le programme CGI pouvait conduire à un DoS par un administrateur authentifié envoyant une requête HTTP contrefaite.
- CVE-2024-7203: L’injection de commandes post-authentification permet à un administrateur authentifié d’exécuter des commandes du système d’exploitation via une commande CLI contrefaite.
- CVE-2024-42057: L’injection de commandes dans le VPN IPSec permet à un attaquant non authentifié d’exécuter des commandes du système d’exploitation avec un nom d’utilisateur long contrefait en mode PSK basé sur l’utilisateur.
- CVE-2024-42058: Le déréférencement de pointeur nul pouvait provoquer un DoS via des paquets contrefaits envoyés par un attaquant non authentifié.
- CVE-2024-42059: L’injection de commandes post-authentification permet à un administrateur authentifié d’exécuter des commandes du système d’exploitation en téléchargeant un fichier de langue compressé contrefait via FTP.
- CVE-2024-42060: L’injection de commandes post-authentification permet à un administrateur authentifié d’exécuter des commandes du système d’exploitation en téléchargeant un fichier d’accord utilisateur interne contrefait.
- CVE-2024-42061: XSS reflété dans » dynamic_script.cgi » pourrait permettre à un attaquant d’inciter un utilisateur à visiter une URL contrefaite, potentiellement en divulguant des informations basées sur le navigateur.
Le plus intéressant de ce qui précède est CVE-2024-42057 (CVSS v3: 8.1, « élevé »), qui est une vulnérabilité d’injection de commandes dans la fonctionnalité VPN IPSec qui peut être exploitée à distance sans authentification.
Sa gravité est atténuée par les exigences de configuration spécifiques requises pour l’exploitation, notamment la configuration de l’appareil en mode d’authentification PSK basée sur l’utilisateur et le fait d’avoir un utilisateur avec un nom d’utilisateur de plus de 28 caractères.