Zyxel NAS设备远程代码执行漏洞(CVE-2020-9054)分析与防护指南

Zyxel NAS设备远程代码执行漏洞(CVE-2020-9054)分析与防护指南 漏洞概述 CVE-2020-9054是Zyxel网络附属存储(NAS)设备中存在的一个超危远程代码执行漏洞，CVSS评分为满分10分。该漏洞存在于weblogin.cgi文件中，允许攻击者无需身份验证即可远程执行任意代码。 受影响设备 已发布补丁的设备 NAS326 NAS520 NAS540 NAS542 不再支持且无补丁的设备 NSA210 NSA220 NSA220+ NSA221 NSA310 NSA310S NSA320 NSA320S NSA325 NSA325v2 技术细节 漏洞成因 漏洞位于weblogin.cgi程序中 CGI可执行文件未能妥善过滤username参数 当用户名中包含特定字符时，可导致命令注入 攻击者首先以webserver权限执行命令 然后可利用设备上的setuid实用程序提升至root权限 攻击向量 直接攻击 ：通过发送特制的HTTP POST或GET请求利用漏洞 间接攻击 ：受害者访问恶意网站时触发漏洞(即使设备未直接暴露在互联网) 漏洞利用现状 该漏洞的exploit在地下论坛以2万美元价格出售 已被勒索软件团伙关注 Emotet恶意软件团伙计划将该exploit集成到其恶意软件中 防护措施 对于可更新设备 立即升级到Zyxel发布的最新固件版本(高于5.21) 对于不再支持的设备 网络隔离 ： 阻止对web接口(80/tcp和443/tcp)的访问 确保NAS设备不直接暴露在互联网 将可访问脆弱web接口的计算机与互联网隔离 网络架构调整 ： 不要将设备直接连接到互联网 通过安全路由器或防火墙连接设备 实施额外的网络防护措施 最佳实践建议 定期检查并更新所有网络设备的固件 对关键网络设备实施最小化网络暴露原则 建立网络设备生命周期管理策略，及时淘汰不再支持的设备 监控网络设备日志中的异常活动 考虑部署入侵检测/防御系统(IDS/IPS)以检测和阻止针对此漏洞的攻击尝试 参考资源 Zyxel官方安全公告 美国CERT/CC漏洞通告 国土安全部安全警报