Multiple Network-Attached Storage (NAS) Devices

Die Schwachstelle betrifft mehrere Netzwerkspeicher-Geräte (NAS) von Zyxel. Sie steckt im Anmeldemodul: Ein CGI-Programm, das die Authentifizierung abwickelt, prüft den übergebenen Benutzernamen nicht ausreichend. Enthält dieser Parameter bestimmte Sonderzeichen, lassen sich darüber eigene Betriebssystem-Befehle einschleusen – und zwar bereits vor jeder Anmeldung. Ein entfernter, nicht authentifizierter Angreifer kann so beliebigen Code ausführen. Zunächst geschieht dies mit den Rechten des Webservers; über ein auf den Geräten vorhandenes Setuid-Hilfsprogramm lassen sich Befehle jedoch auf Root-Rechte ausweiten, sodass von einer vollständigen Geräteübernahme auszugehen ist. Ausgelöst wird der Angriff durch eine speziell präparierte HTTP-Anfrage. Direkt aus dem Internet erreichbare Geräte sind unmittelbar angreifbar. Heikel ist zudem ein indirekter Weg: Schon der Besuch einer manipulierten Website kann genügen, um ein vom Browser aus erreichbares Zyxel-NAS im lokalen Netz zu kompromittieren. Betroffen sind auch mehrere Modelle, die keine Herstellerunterstützung mehr erhalten.