儘速修補!合勤 NAS、防火牆、VPN 裝置爆重大漏洞讓任何人都可執行遠端程式碼

合勤網路防火牆、VPN閘道、ATP安全設備及NAS韌體出現重大漏洞,可能讓企業儲存及網路閘道被駭客遠端挾持。

合勤網路防火牆、VPN 閘道、ATP 安全設備及 NAS 韌體出現重大漏洞,可能讓企業儲存及網路閘道被駭客遠端挾持。

問題出在內建於這些設備韌體中的 weblogin.cgi 程式,它是一個 Web UI,可接受 GET 或 GET 或 POST HTTP 呼叫傳送的指令。但它未能適當驗證使用者輸入指令,導致任何能從網路上發現及連上機器的人都能以根 (root) 權限注入任意指令,而完全無需驗證,造成合勤設備可能被遠端使用者接管。這個 CVE-2020-9054 漏洞屬於「驗證前指令注入漏洞」安全專家將之風險分數列為滿分 10 分。

卡內基美隆大學的 CERT-CC 指出,就算駭客無法直接連上合勤裝置,還是可利用其他方法來觸發惡意改造的呼叫,例如以釣魚信件或訊息騙用戶連上惡意網站,即可駭入電腦連接的合勤網路裝置。

Tripwire 安全專家 Craig Young 說,登入頁的指令注入相當危險,而缺乏防範跨站請求偽造(Cross-site request forgery,CSRF)的權杖(token)使本漏洞又格外危險,只要瀏覽器上跑 JavaScripte 就足以找到網路上有漏洞的裝置然後駭入。

受影響的產品包括:

  • NAS:NAS326、NAS520、NAS540、NAS542
  • 進階安全防火牆(ATP 系列):ATP100、ATP200、ATP500、ATP800
  • 防火牆及閘道器:USG20-VPN、USG20W-VPN、USG40、USG40W、USG60、USG60W、USG110、USG210、USG310、USG1100、USG1900、USG2200、VPN50、VPN100、VPN300、VPN1000、ZyWALL110、ZyWALL310、和 ZyWALL1100

上合勤網站可以下載更新版本韌體。但是也有一些裝置,像是 NSA210、NSA220、NSA220+、NSA221、NSA310、NSA310S、NSA320、NSA320S、NSA325 和 NSA325v2 廠商已經不支援,因而也沒有修補軟體可安裝。

安全專家呼籲應儘速安裝修補程式,因為地下網路論壇已經有人兜售要價 2 萬美元的攻擊程式。但尷尬的是,安全專家提醒用戶要小心,因為更新版的韌體是經由未加密的 FTP 下載,可能被駭客動手腳。

來源:The Register

關於我們

自 1990 年創刊 UXmaster 雜誌,1991 年獲得美國 LAN Magazine 獨家授權中文版,2006 年獲得 CMP Network Computing 授權,2009 年合併 CMP Network Magazine 獨家授權中文版,2014 年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT 人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2022 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416