儘速修補！合勤NAS、防火牆、VPN裝置爆重大漏洞讓任何人都可執行遠端程式碼

合勤網路防火牆、VPN閘道、ATP安全設備及NAS韌體出現重大漏洞，可能讓企業儲存及網路閘道被駭客遠端挾持。

問題出在內建於這些設備韌體中的weblogin.cgi程式，它是一個Web UI，可接受GET或GET或POST HTTP呼叫傳送的指令。但它未能適當驗證使用者輸入指令，導致任何能從網路上發現及連上機器的人都能以根(root)權限注入任意指令，而完全無需驗證，造成合勤設備可能被遠端使用者接管。這個CVE-2020-9054漏洞屬於「驗證前指令注入漏洞」安全專家將之風險分數列為滿分10分。

卡內基美隆大學的CERT-CC指出，就算駭客無法直接連上合勤裝置，還是可利用其他方法來觸發惡意改造的呼叫，例如以釣魚信件或訊息騙用戶連上惡意網站，即可駭入電腦連接的合勤網路裝置。

Tripwire安全專家Craig Young說，登入頁的指令注入相當危險，而缺乏防範跨站請求偽造（Cross-site request forgery，CSRF）的權杖（token）使本漏洞又格外危險，只要瀏覽器上跑JavaScripte就足以找到網路上有漏洞的裝置然後駭入。

受影響的產品包括：

• NAS：NAS326、NAS520、NAS540、NAS542
• 進階安全防火牆（ATP系列）：ATP100、ATP200、ATP500、ATP800
• 防火牆及閘道器：USG20-VPN、USG20W-VPN、USG40、USG40W、USG60、USG60W、USG110、USG210、USG310、USG1100、USG1900、USG2200、VPN50、VPN100、VPN300、VPN1000、ZyWALL110、ZyWALL310、和ZyWALL1100

上合勤網站可以下載更新版本韌體。但是也有一些裝置，像是NSA210、NSA220、NSA220+、NSA221、NSA310、NSA310S、NSA320、NSA320S、NSA325和NSA325v2廠商已經不支援，因而也沒有修補軟體可安裝。

安全專家呼籲應儘速安裝修補程式，因為地下網路論壇已經有人兜售要價2萬美元的攻擊程式。但尷尬的是，安全專家提醒用戶要小心，因為更新版的韌體是經由未加密的FTP下載，可能被駭客動手腳。

來源：The Register