URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 127496
[ Назад ]
Исходное сообщение
"Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить код без аутентификации"
Отправлено opennews , 13-Май-22 13:42 
В устройствах Zyxel серий ATP, VPN и USG FLEX, предназначенных для организации работы  межсетевых экранов, IDS и VPN на предприятиях, выявлена критическая уязвимость (CVE-2022-30525), позволяющая внешнему атакующему без аутентификации выполнить код на устройстве с правами пользователя nobody. Для совершения атаки злоумышленник должен иметь возможность отправки на устройство запросов по протоколу HTTP/HTTPS. Компания Zyxel устранила уязвимость в обновлении прошивки ZLD 5.30. По данным сервиса Shodan в настоящее время в глобальной сети зафиксировано 16213 потенциально уязвимых устройств, принимающих запросы по HTTP/HTTPS...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=57183

Содержание
Сообщения в этом обсуждении
"Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."
Отправлено Stanislavvv , 13-Май-22 13:42 
Помнится, лет 12 назад примерно так же получал шелл в первом кинетике.
Похоже, с тех пор ничего не изменилось...
"Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."
Отправлено Анонус , 13-Май-22 14:02 
Сейчас вроде Кинетики делает отдельная команда в России.
"Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."
Отправлено another_one , 13-Май-22 14:18 
Уже не команда, а вроде как отдельная независимая компания.
"Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."
Отправлено Атон , 13-Май-22 15:13 
их и тогда делала отдельная русская команда. компания стартап.

просто они договорились что zyxel предоставляет свою логистику и производство, а взамен ставит свой логотип и гребет 95% прибыли от продаж. а компания kinetic разрабатывает железки с ПО для домашнего сегмента рынка, в котором у самого zyxel всегда был "провал".

"Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."
Отправлено Аноним , 14-Май-22 00:06 
Конпания называется NDM Systems.
"Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."
Отправлено Анонус , 14-Май-22 16:02 
> их и тогда делала отдельная русская команда. компания стартап.
> просто они договорились что zyxel предоставляет свою логистику и производство, а взамен
> ставит свой логотип и гребет 95% прибыли от продаж. а компания
> kinetic разрабатывает железки с ПО для домашнего сегмента рынка, в котором
> у самого zyxel всегда был "провал".

О, спасибо. Таких подробностей не знал. Думал просто местный филиал разросся и получил независимость.

"Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."
Отправлено Zed , 14-Май-22 16:26 
С ними не оч понятно. Штабквартира явно не в рф, да и недавно писали что програмеров из рф они вывозят.
"Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."
Отправлено fastpoke , 17-Май-22 07:26 
Если ты продаешь не только в снг, то максимально логично держать юр лицо не тут,
Если ты хочешь работать, во время специального здеца, то так же логично вывозить персонал, чтобы иметь возможность работать дальше.  
Так делали и делают многие.
"Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."
Отправлено КО , 13-Май-22 13:43 
Обычно такие компании пугалки рассказывают и втюхивают новое оборудование, подпинывая клиента.
Как и некоторые антивирусные.
"Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."
Отправлено Аноним , 13-Май-22 13:50 
Странно что кто-то считает что это не норма.
"Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."
Отправлено Аноним , 13-Май-22 13:54 
Так же надеюсь тут все понимают что если бы код был написан на расте, то на существование дырени это никак бы не сказалось. Потому что производитель целенаправленно хотел чтобы в устройстве была такая «фича».
"Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."
Отправлено iPony129412 , 13-Май-22 14:11 
Шо, опять?!
"Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."
Отправлено Аноним , 13-Май-22 15:16 
Это норма.
"Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."
Отправлено vitalif , 13-Май-22 14:19 
Говорили же вам, сносите штатное гуано сразу, ставьте openwrt
"Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."
Отправлено Аноним , 13-Май-22 14:56 
Что-то среди поддерживаемых моделей не нашёл этих ATP, VPN и USG FLEX
"Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."
Отправлено Аноним , 13-Май-22 15:16 
Там модели поддерживает по одному человеку. Соответственно придется кому-то, например тебе, заняться поддержкой для этих моделей.
"Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."
Отправлено Аноним , 13-Май-22 16:25 
Стоит какой-то древний тплинк на стоковой прошивке, уже лет 15 пашет без единого замечания. Подключил и забыл. А если нет разницы, зачем платить больше?
"Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."
Отправлено ryoken , 13-Май-22 16:39 
>>  А если нет разницы, зачем платить больше?

Расширение предоставляемых устройством сервисов? Не, не слышал.

"Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."
Отправлено Аноним , 13-Май-22 18:22 
Уязвимость as Service
"Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."
Отправлено Аноним , 13-Май-22 17:30 
И что, в ней за 15 лет не нашлось ни одной дырки?
"Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."
Отправлено YetAnotherOnanym , 13-Май-22 17:40 
Написано же - ни единой замеченной владельцем.
"Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."
Отправлено YetAnotherOnanym , 13-Май-22 17:39 
> при выполнение в системе команд при помощи вызова os.system

Ну да, вместо вызова утилиты подгрузить либу и дёрнуть функцию - это ж надо доки на API читать, это слишком сложно.

"Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."
Отправлено Аноним , 13-Май-22 19:13 
>при помощи вызова os.system
>Проблема вызвана отсутствием должной чистки параметров запроса

Проблема вызвана тем, что дёргать system вообще должно быть запрещено, а не было, ибо макаки любят сортировать строки через system("sort") и пинговать через system("ping") устанавливать пакеты через system("pip").

"Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."
Отправлено Аноним , 13-Май-22 23:17 
Ну конечно ты еще скажи что у них это случайно получилось. Спойлер: Уязвимость появилась не случайно.
"Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."
Отправлено Адмирал Майкл Роджерс , 14-Май-22 10:05 
Считаю необходимым заверить Вас, сэр, что все подобные уязвимости появляются в результате стечения обстоятельств, в котором существенную роль играет фактор случайности.
"Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."
Отправлено Аноним , 13-Май-22 23:44 
Интересно, уже все кулхацкеры в комментариях к новости отметились?
Или ещё остались, кто не успел показать свой "глубочайший уровень"?

PS.
"Каждый мнит себя стратегом, видя бой со стороны" (с) Шота Руставели

"Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."
Отправлено Аноним , 14-Май-22 07:53 
А ты ведь реально считаешь что самый умный это ты. Но спешу тебя огорчить это не так.
"Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."
Отправлено Аноним , 14-Май-22 14:45 
Видимо, кому-то из кулхацкеров не понравилось, что их пересчитывают.
"Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."
Отправлено anonfhjvxd , 14-Май-22 19:57 
Верно. Самый умный - я
"Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."
Отправлено Аноним , 14-Май-22 07:54 
Кстати Хуавей за что-то похожее забанили в США. А тут это всего лишь проходной баг.
"Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить..."
Отправлено InuYasha , 14-Май-22 19:48 
Там ведь nobody не входит в sudoers, я надеюсь? )