NVD Vulnerability Detail
Search Exploit, PoC
CVE-2020-9054
Summary

Multiple ZyXEL network-attached storage (NAS) devices running firmware version 5.21 contain a pre-authentication command injection vulnerability, which may allow a remote, unauthenticated attacker to execute arbitrary code on a vulnerable device. ZyXEL NAS devices achieve authentication by using the weblogin.cgi CGI executable. This program fails to properly sanitize the username parameter that is passed to it. If the username parameter contains certain characters, it can allow command injection with the privileges of the web server that runs on the ZyXEL device. Although the web server does not run as the root user, ZyXEL devices include a setuid utility that can be leveraged to run any command with root privileges. As such, it should be assumed that exploitation of this vulnerability can lead to remote code execution with root privileges. By sending a specially-crafted HTTP POST or GET request to a vulnerable ZyXEL device, a remote, unauthenticated attacker may be able to execute arbitrary code on the device. This may happen by directly connecting to a device if it is directly exposed to an attacker. However, there are ways to trigger such crafted requests even if an attacker does not have direct connectivity to a vulnerable devices. For example, simply visiting a website can result in the compromise of any ZyXEL device that is reachable from the client system. Affected products include: NAS326 before firmware V5.21(AAZF.7)C0 NAS520 before firmware V5.21(AASZ.3)C0 NAS540 before firmware V5.21(AATB.4)C0 NAS542 before firmware V5.21(ABAG.4)C0 ZyXEL has made firmware updates available for NAS326, NAS520, NAS540, and NAS542 devices. Affected models that are end-of-support: NSA210, NSA220, NSA220+, NSA221, NSA310, NSA310S, NSA320, NSA320S, NSA325 and NSA325v2

Publication Date March 5, 2020, 5:15 a.m.
Registration Date Jan. 26, 2021, 12:02 p.m.
Last Update Nov. 21, 2024, 2:39 p.m.
CVSS3.1 : CRITICAL
スコア 9.8
Vector CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC)
攻撃に必要な特権レベル(PR) 不要
利用者の関与(UI) 不要
影響の想定範囲(S) 変更なし
機密性への影響(C)
完全性への影響(I)
可用性への影響(A)
CVSS2.0 : HIGH
Score 10.0
Vector AV:N/AC:L/Au:N/C:C/I:C/A:C
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC)
攻撃前の認証要否(Au) 不要
機密性への影響(C)
完全性への影響(I)
可用性への影響(A)
Get all privileges. いいえ
Get user privileges いいえ
Get other privileges いいえ
User operation required いいえ
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:o:zyxel:nas326_firmware:*:*:*:*:*:*:*:* 5.21\(aazf.7\)c0
execution environment
1 cpe:2.3:h:zyxel:nas326:-:*:*:*:*:*:*:*
Configuration2 or higher or less more than less than
cpe:2.3:o:zyxel:nas520_firmware:*:*:*:*:*:*:*:* 5.21\(aasz.3\)c0
execution environment
1 cpe:2.3:h:zyxel:nas520:-:*:*:*:*:*:*:*
Configuration3 or higher or less more than less than
cpe:2.3:o:zyxel:nas540_firmware:*:*:*:*:*:*:*:* 5.21\(aatb.4\)c0
execution environment
1 cpe:2.3:h:zyxel:nas540:-:*:*:*:*:*:*:*
Configuration4 or higher or less more than less than
cpe:2.3:o:zyxel:nas542_firmware:*:*:*:*:*:*:*:* 5.21\(abag.4\)c0
execution environment
1 cpe:2.3:h:zyxel:nas542:-:*:*:*:*:*:*:*
Configuration5 or higher or less more than less than
cpe:2.3:o:zyxel:atp100_firmware:*:*:*:*:*:*:*:* 4.35 4.35\(abps.3\)c0
execution environment
1 cpe:2.3:h:zyxel:atp100:-:*:*:*:*:*:*:*
Configuration6 or higher or less more than less than
cpe:2.3:o:zyxel:atp200_firmware:*:*:*:*:*:*:*:* 4.35 4.35\(abfw.3\)c0
execution environment
1 cpe:2.3:h:zyxel:atp200:-:*:*:*:*:*:*:*
Configuration7 or higher or less more than less than
cpe:2.3:o:zyxel:atp500_firmware:*:*:*:*:*:*:*:* 4.35 4.35\(abfu.3\)c0
execution environment
1 cpe:2.3:h:zyxel:atp500:-:*:*:*:*:*:*:*
Configuration8 or higher or less more than less than
cpe:2.3:o:zyxel:atp800_firmware:*:*:*:*:*:*:*:* 4.35 4.35\(abiq.3\)c0
execution environment
1 cpe:2.3:h:zyxel:atp800:-:*:*:*:*:*:*:*
Configuration9 or higher or less more than less than
cpe:2.3:o:zyxel:usg20-vpn_firmware:*:*:*:*:*:*:*:* 4.35 4.35\(abaq.3\)c0
execution environment
1 cpe:2.3:h:zyxel:usg20-vpn:-:*:*:*:*:*:*:*
Configuration10 or higher or less more than less than
cpe:2.3:o:zyxel:usg20w-vpn_firmware:*:*:*:*:*:*:*:* 4.35 4.35\(abar.3\)c0
execution environment
1 cpe:2.3:h:zyxel:usg20w-vpn:-:*:*:*:*:*:*:*
Configuration11 or higher or less more than less than
cpe:2.3:o:zyxel:usg40_firmware:*:*:*:*:*:*:*:* 4.35 4.35\(aala.3\)c0
execution environment
1 cpe:2.3:h:zyxel:usg40:-:*:*:*:*:*:*:*
Configuration12 or higher or less more than less than
cpe:2.3:o:zyxel:usg40w_firmware:*:*:*:*:*:*:*:* 4.35 4.35\(aalb.3\)c0
execution environment
1 cpe:2.3:h:zyxel:usg40w:-:*:*:*:*:*:*:*
Configuration13 or higher or less more than less than
cpe:2.3:o:zyxel:usg60_firmware:*:*:*:*:*:*:*:* 4.35 4.35\(aaky.3\)c0
execution environment
1 cpe:2.3:h:zyxel:usg60:-:*:*:*:*:*:*:*
Configuration14 or higher or less more than less than
cpe:2.3:o:zyxel:usg60w_firmware:*:*:*:*:*:*:*:* 4.35 4.35\(aakz.3\)c0
execution environment
1 cpe:2.3:h:zyxel:usg60w:-:*:*:*:*:*:*:*
Configuration15 or higher or less more than less than
cpe:2.3:o:zyxel:usg110_firmware:*:*:*:*:*:*:*:* 4.35 4.35\(aaph.3\)c0
execution environment
1 cpe:2.3:h:zyxel:usg110:-:*:*:*:*:*:*:*
Configuration16 or higher or less more than less than
cpe:2.3:o:zyxel:usg210_firmware:*:*:*:*:*:*:*:* 4.35 4.35\(aapi.3\)c0
execution environment
1 cpe:2.3:h:zyxel:usg210:-:*:*:*:*:*:*:*
Configuration17 or higher or less more than less than
cpe:2.3:o:zyxel:usg310_firmware:*:*:*:*:*:*:*:* 4.35 4.35\(aapj.3\)c0
execution environment
1 cpe:2.3:h:zyxel:usg310:-:*:*:*:*:*:*:*
Configuration18 or higher or less more than less than
cpe:2.3:o:zyxel:usg1100_firmware:*:*:*:*:*:*:*:* 4.35 4.35\(aapk.3\)c0
execution environment
1 cpe:2.3:h:zyxel:usg1100:-:*:*:*:*:*:*:*
Configuration19 or higher or less more than less than
cpe:2.3:o:zyxel:usg1900_firmware:*:*:*:*:*:*:*:* 4.35 4.35\(aapl.3\)c0
execution environment
1 cpe:2.3:h:zyxel:usg1900:-:*:*:*:*:*:*:*
Configuration20 or higher or less more than less than
cpe:2.3:o:zyxel:usg2200_firmware:*:*:*:*:*:*:*:* 4.35 4.35\(abae.3\)c0
execution environment
1 cpe:2.3:h:zyxel:usg2200:-:*:*:*:*:*:*:*
Configuration21 or higher or less more than less than
cpe:2.3:o:zyxel:vpn50_firmware:*:*:*:*:*:*:*:* 4.35 4.35\(abhl.3\)c0
execution environment
1 cpe:2.3:h:zyxel:vpn50:-:*:*:*:*:*:*:*
Configuration22 or higher or less more than less than
cpe:2.3:o:zyxel:vpn100_firmware:*:*:*:*:*:*:*:* 4.35 4.35\(abfv.3\)c0
execution environment
1 cpe:2.3:h:zyxel:vpn100:-:*:*:*:*:*:*:*
Configuration23 or higher or less more than less than
cpe:2.3:o:zyxel:vpn300_firmware:*:*:*:*:*:*:*:* 4.35 4.35\(abfc.3\)c0
execution environment
1 cpe:2.3:h:zyxel:vpn300:-:*:*:*:*:*:*:*
Configuration24 or higher or less more than less than
cpe:2.3:o:zyxel:vpn1000_firmware:*:*:*:*:*:*:*:* 4.35 4.35\(abip.3\)c0
execution environment
1 cpe:2.3:h:zyxel:vpn1000:-:*:*:*:*:*:*:*
Configuration25 or higher or less more than less than
cpe:2.3:o:zyxel:zywall110_firmware:*:*:*:*:*:*:*:* 4.35 4.35\(aaaa.3\)c0
execution environment
1 cpe:2.3:h:zyxel:zywall110:-:*:*:*:*:*:*:*
Configuration26 or higher or less more than less than
cpe:2.3:o:zyxel:zywall310_firmware:*:*:*:*:*:*:*:* 4.35 4.35\(aaab.3\)c0
execution environment
1 cpe:2.3:h:zyxel:zywall310:-:*:*:*:*:*:*:*
Configuration27 or higher or less more than less than
cpe:2.3:o:zyxel:zywall1100_firmware:*:*:*:*:*:*:*:* 4.35 4.35\(aaac.3\)c0
execution environment
1 cpe:2.3:h:zyxel:zywall1100:-:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List
JVN Vulnerability Information
複数の ZyXEL 製品に含まれる weblogin.cgi にコマンドインジェクションの脆弱性
Title 複数の ZyXEL 製品に含まれる weblogin.cgi にコマンドインジェクションの脆弱性
Summary

複数の ZyXEL 製品に含まれる weblogin.cgi には、任意のコマンドが実行可能な脆弱性が存在します。 OS コマンドインジェクション (CWE-78) - CVE-2020-9054 ZyXEL が提供している複数の製品では、CGI 実行ファイル weblogin.cgi を使用して認証が行われます。この weblogin.cgi では、渡された username パラメータの無害化処理が適切に行われません。username パラメータに特定の文字が含まれる場合、ZyXEL 機器で動作している web サーバの権限でコマンドインジェクションが可能になります。web サーバは root ユーザとして動作しませんが、ZyXEL 機器には setuid ユーティリティがあり、これを悪用すると root 権限で任意のコマンドを実行できます。 本脆弱性について、ZyXEL 製 NAS 製品を対象としたエクスプロイトコードがインターネット上で公開されています。CERT/CC は、影響を受ける ZyXEL 製の NAS 機器の電源を切ることができる概念実証Webサイト (PoC exploit)を提供しています。

Possible impacts 認証されていない遠隔の第三者が、本脆弱性のある ZyXEL 機器に特別に細工した HTTP POST または GET リクエストを送ることで、機器上で任意のコードを実行する可能性があります。
Solution

[アップデートする] 次の製品について、開発者はこの脆弱性に対処したファームウエアを提供しています。 開発者が提供する情報をもとに、最新版にアップデートしてください。 なお、当該製品のファームウェアは FTP でダウンロードされ、アップデートファイルの改ざん検知は電子署名ではなくチェックサムの検証により行われることに注意してください。 * NAS326、NAS520、NAS540、NAS542、ATP100、ATP200、ATP500、ATP800、USG20-VPN、USG20W-VPN、USG40、USG40W、USG60、USG60W、USG110、USG210、USG310、USG1100、USG1900、USG2200、VPN50、VPN100、VPN300、VPN1000、ZyWALL110、ZyWALL310 および ZyWALL1100 [ワークアラウンドを実施する] 次の製品についてはサポートが終了しており、修正プログラムが提供されません。 * NSA210、NSA220、NSA220+、NSA221、NSA310、NSA310S、NSA320、NSA320S、NSA325 および NSA325v2 次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。 * 当該機器の web インターフェースへのアクセス (80/tcp または 443/tcp) をファイアウォールなどでブロックする * 当該機器へのアクセスを制限する。特に、当該機器をインターネットに直接接続しないようにする
Publication Date Feb. 24, 2020, midnight
Registration Date Feb. 26, 2020, 12:13 p.m.
Last Update April 21, 2020, 12:18 p.m.
Affected System
ZyXEL
ATP100 ファームウェア 
ATP200 ファームウェア 
ATP500 ファームウェア 
ATP800 ファームウェア 
NAS 326 ファームウェア 
NAS 520 ファームウェア 
NAS 540 ファームウェア 
NAS 542 ファームウェア 
USG20-VPN ファームウェア 
USG20W-VPN ファームウェア 
CVE (情報セキュリティ 共通脆弱性識別子)
ベンダー情報
その他
Change Log
No Changed Details Date of change
1 [2020年02月26日]
  掲載		 Feb. 26, 2020, 12:13 p.m.
2 [2020年03月02日]
  タイトル:内容を更新
  概要:内容を更新
  影響を受けるシステム:内容を更新
  対策:内容を更新		 March 2, 2020, 11:22 a.m.
3 [2020年04月21日]
  参考情報:National Vulnerability Database (NVD) (CVE-2020-9054) を追加		 April 21, 2020, 12:16 p.m.