谷歌、网络设备厂商Zyxel各修复一个已遭利用的0day

本周一，谷歌发布 Chrome 80 更新版本 Chrome 80.0.3987.122 ，修复了三个高危漏洞，含一个已遭利用的漏洞 CVE-2020-6418。网络设备厂商 Zyxel 发布补丁，修复了多款网络附加存储设备 (NAS) 中已遭利用的一个严重漏洞 CVE-2020-9054。

Chrome 0day (CVE-2020-6418)

该漏洞被指为类型混淆问题，影响 Chrome 使用的 V8 开源 JavaScript 引擎。该漏洞是谷歌威胁分析团队的研究员 Clement Lecigne 发现的。

除此以外，像往常一样，谷歌并未发布任何其它详情。

谷歌还修复了其它两个高危漏洞，一个是ICU 中的整数溢出漏洞，一个是 streams 组件中的界外内存访问权限问题。

该整数溢出漏洞是由 André Bargull 报告的，后者获得5000美元的奖励金；界外漏洞是由谷歌 Project Zero 团队的 Sergei Glazunov 发现的。

去年，多个 Chrome 漏洞遭利用。其中在与韩国相关的攻击活动 “Operation Wizard Opium” 中使用一个 Chrome 0day 漏洞传播恶意软件。其它 Chrome 漏洞被指和一个 Windows 0day 一起遭利用。

NAS 0day (CVE-2020-9054)

该漏洞的编号是 CVE-2020-9054，是一个远程代码缺陷，可在未经认证的情况下遭利用，它产生的原因在于 weblogin.cgi CGI 可执行文件未能正确地清理传递给它的用户名参数。

CERT/CC 解释称，如果用户名中包含某些字符，那么攻击者就可以 web 服务器权限注入命令，之后可利用设备上包含的 setuid 功能以 root 权限运行任意命令。

Zyxel 公司发布安全公告称，“运行固件版本 5.2.1 及之前版本的Zyxel NAS 产品的 weblogin.cgi 程序中存在一个远程代码执行漏洞。缺乏对该程序的认证可导致攻击者通过 OS 命令注入执行远程代码。”（注：后续发现 Zyxel 部分防火墙、VPN等产品也受影响）

攻击者可发送特殊构造的 HTTP POST 或 GET 请求在易受攻击的 Zyxel 设备上执行任意代码。即使攻击者无法直接连接该设备（如该设备未暴露给 web），但如果受害者连接到恶意网站，则也可触发该漏洞。

安全记者 Brian Krebs 将问题告知 Zyxel 公司、美国国土安全局和 CERT/CC，并指出这个漏洞的 exploit 已在黑市以2万美元的价格出售。

Krebs 还表示大规模部署勒索软件的团伙对此表示出购买意向，而 Emotet 组织也有意将该 exploit 纳入恶意软件中。

本周，Zyxel 公司发布补丁，修复易受攻击的四款设备：NAS326、NAS520、NAS540 和 NAS542。

然而，Zyxel 公司的其它十款NAS产品不再受支持而且也不会收到修复方案：NSA210、 NSA220、 NSA220+、 NSA221、 NSA310、 NSA310S、 NSA320、 NSA320S、 NSA325 和 NSA325v2。

这些设备的缓解措施包括拦截对 web 接口（80/tcp 和 443/tcp）的访问权限并确保该 NAS 未被暴露在互联网上。CERT/XX 认为该漏洞的 CVSS 评分为10分，并推荐从互联网隔离任何可访问该易受攻击的 web 接口的机器。

Zyxel 公司表示，“不要将产品直接暴露于互联网。如有可能，则将其连接到安全路由器或部署防火墙进行进一步防护。”

原文链接

https://www.securityweek.com/zyxel-patches-zero-day-vulnerability-network-storage-products

https://www.securityweek.com/google-patches-chrome-vulnerability-exploited-wild

https://krebsonsecurity.com/2020/02/zyxel-0day-affects-its-firewall-products-too/

声明：本文来自代码卫士，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。