Zyxel 設備 auth bypass 等多個漏洞 - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2018-01054
  •  發信 Vendor: 合勤科技股份有限公司
  • Title: Zyxel 設備 auth bypass 等多個漏洞
  • Introduction: 免驗證直接存取所有功能、Path Traversal
  • 感謝函

處理狀態

目前狀態

公開
Last Update : 2018/09/30
  • 新提交
  • 已審核
  • 已通報
  • 已修補
  • 未複測
  • 公開

處理歷程

  • 2018/07/31 19:22:33 : 新提交 (由 /dev/hans 更新此狀態)
  • 2018/07/31 19:26:06 : 新提交 (由 /dev/hans 更新此狀態)
  • 2018/07/31 19:27:37 : 新提交 (由 /dev/hans 更新此狀態)
  • 2018/07/31 19:41:22 : 新提交 (由 /dev/hans 更新此狀態)
  • 2018/07/31 22:55:40 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2018/08/02 11:23:06 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2018/08/02 11:23:06 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2018/08/02 12:17:07 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2018/09/26 17:58:45 : 已修補 (由 組織帳號 更新此狀態)
  • 2018/09/30 03:00:04 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

  • ZDID:ZD-2018-01054
  • 通報者:hans00 (/dev/hans)
  • 風險:高
  • 類型:其他 (Other)

參考資料

暫無資料
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

相關網址

目前已知:
Zyxel WAH7706
Zyxel LTE4506

敘述

直接對背後的 /cgi-bin/gui.cgi 存取。

如圖以帳號資訊爲例,送出 {"action": "get_system_user_info"} 即可取得明文密碼(從版本 V1.00 (ABBC.7)C0V1.00 (ABBC.9)C0 皆未改過密碼)
圖片
若在較新版本改過密碼,密碼欄位則是 hash
圖片

所有 action 皆是如此。

備份檔( /download/profile_backup.zip )也是不需授權直接下載。
且於韌體檔案中可以找到 zip 寫死密碼、備份檔 zip 內可以包含任何檔案。
圖片

set_system_profile_save 這個 action 存在任意目錄漏洞。
圖片

修補建議

使用更安全的驗證機制而非前端驗證,如 login session。
參數不要只用前端限制,後端程式也要。
備份檔下載點必須是驗證授權成功的使用者。

擷圖

留言討論

聯絡組織

 發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。
;