多項合勤防火牆、NAS產品爆指令注入漏洞可執行任意程式碼

台灣網通廠商合勤（Zyxel）20多款NAS及網路防火牆、VPN裝置，遭安全研究人員發現韌體存在驗證前指令注入（pre-authentication command injection）的高風險漏洞，可能給駭客遠端存取執行任意程式碼的機會。

編號CVE-2020-9054的漏洞，是由安全廠商Hold Security研究人員Alex Holden發現，它出現在合勤產品韌體中用於網頁驗證的Weblogin.cgi元件中，屬於「通用缺陷列表」（Common Weakness Enumeration，CWE）編號78的OS指令特殊元素的不當中和（Improper Neutralization of Special Elements used in an OS Command）。

卡內基美隆大學電腦緊急回應小組（Computer Emergent Response Team, CERT）協力中心（CERT-CC）研究人員解釋，多項合勤產品是利用weblogin.cgi來達成驗證。但這支程式卻未能適當檢驗輸入字串的username參數。因此如果這個參數包含了特定字元的話可能遭注入指令，並利用網頁伺服器權限在合勤裝置上執行。

雖然網頁伺服器並未具備根用戶權限，但許多合勤裝置上支援setuid，讓任何指令都能以根用戶或管理員權限執行。遠端攻擊者可傳送改造的HTTP POST或GET呼叫，即可在合勤設備上以根權限執行惡意程式碼。用戶只要被誘使連上惡意網站就可能被注入後門程式或劫持。該漏洞CVSS v3.0風險評分為最高的10分。

網路上已經有可開採本項漏洞的程式碼，CERT-CC並製作了概念驗證程式證明攻擊的可能性。

合勤網站列出20多款受影響的NAS、防火牆及VPN設備，同時也發佈更新版韌體以修補漏洞。

但是若合勤已不支援的產品機型，就無法安裝更新版韌體。此外，CERT-CC也提醒，由於這些韌體是經由較不安全的FTP提供，而且只以checksum而非加密簽章驗證，因此有可能讓駭客控制的DNS攔截，而導致用戶下載不安全的韌體。

對於尚未能或無法更新韌體的產品用戶，CERT-CC建議不要讓裝置直接連向網際網路，或關閉80/TCP 及443/TCP傳輸埠。

【更新資訊】合勤美國網站原先已經對此發布安全性公告，在3月3日，臺灣合勤網站也基於此次事件公布漏洞修補方案公告，提供受影響產品的新版韌體與下載資訊。

對於CERT/CC所提及的FTP資安風險，合勤後續也做出回應，表示已經將這個情況納入網站改版的專案工作，未來會採以加密驗證的方式提供韌體。

合勤也補充說明，他們在防火牆產品線正式版韌體提供的做法上，額外加入多項保護措施：包含韌體更新資訊是由原廠伺服器主動推播到設備上，通知用戶下載；此外，用戶也要註冊合勤的會員，才能取得韌體，用戶若透過這個方式更新防火牆，就不需要特別再經由FTP伺服器下載韌體。再者，這些韌體採用了防竄改機制，若是被修改也無法安裝到防火牆上。他們也規畫日後發布緊急修補程式時，比照這種派送機制提供。