Zyxel’in ATP ve USG serisi güvenlik duvarlarında, saldırganların yetkilendirme kontrollerini atlamasına ve hassas sistem yapılandırmalarına erişmesine olanak tanıyan kritik bir güvenlik açığı.
CVE-2025-9133 olarak adlandırılan bu kusur, V5.40’a (ABPS.0) kadar donanım yazılımı sürümlerini çalıştıran cihazları etkiliyor ve iki faktörlü kimlik doğrulama (2FA) işlemi sırasında bile yapılandırmaların yetkisiz olarak görüntülenmesine ve indirilmesine olanak tanıyor.
14 Ağustos 2025’te açıklanan sorun, web arayüzündeki yetersiz komut filtrelemesinden kaynaklanıyor; bu durum kimlik bilgilerinin, anahtarların ve ağ ayarlarının uzaktan istismara maruz kalmasına neden olabilir.
Güvenlik açığı, 2FA etkinleştirilmiş bir kullanıcı cihazın web portalına giriş yaptığında ortaya çıkıyor. Normalde, devam etmek için e-posta veya kimlik doğrulama uygulaması aracılığıyla tek seferlik bir PIN girmeleri gerekir.
Ancak doğrulamadan önce sistem, yapılandırma sorgularını işleyen arka uç zysh-cgi ikili dosyasına yarı kimlik doğrulamalı istekler gönderir.
CVE-2025-8078’e paralel kusuru keşfeden Alessandro Sgreccia’ya göre, saldırganların komutları enjekte etmek için bu istekleri manipüle edebildiğini ve doğrulanmamış kullanıcıların erişimini kısıtlayan bir beyaz listeden kaçabildiğini buldu.
Komut Enjeksiyonu Yoluyla Atlama
Araştırmacı, Burp Suite gibi araçları kullanarak /cgi-bin/zysh-cgi’ye gönderilen POST isteklerini yakaladı. Bu istekler genellikle kısmi kimlik doğrulama durumları (kullanıcı türü 0x14) için beyaz listeye eklenen “sürümü göster” veya “mevcut kullanıcıları göster” gibi zararsız komutları içerir.
Enjeksiyon, “sürümü göster;çalışan-yapılandırmayı göster” gibi noktalı virgülle yetkisiz komutlar ekleyerek sistemi kandırır.
İkili program, önek tabanlı doğrulama gerçekleştirir ve izin verilenler listesine göre dizenin yalnızca başlangıcını kontrol eder. Eşleşirse, komut zincirinin tamamı cihazın CLI ayrıştırıcısına iletilir ve gizli veri daha fazla incelemeye gerek kalmadan yürütülür.
Export-cgi veya file_upload-cgi yoluyla yapılandırmalara doğrudan erişme girişimleri, giriş sayfasına 302 yönlendirmesini tetikleyerek başarısız 2FA denemelerinden sonra oturumu kapatmayı zorunlu kılar.
Ancak zysh-cgi uç noktası bu korumadan yoksundur ve filter=js2 ayarlandığında JavaScript ile serileştirilmiş yanıtlarda (örneğin, zyshdata dizileri) tam yapılandırma dökümlerini döndürür.
Zysh-cgi’nin ikili analizi, kullanıcı profiline dayalı iki yürütme yolunu ortaya çıkardı: yönetici olmayanlar için tam doğrulamayı atlayan ve bypass’a izin veren kısıtlı bir “motor”.
Bu kusur, komutları noktalı virgüllere bölmeden veya alt parçaları yeniden doğrulamadan, salt okunur bir sorguyu tam bir sızma vektörüne dönüştürüyor.
Bu yetkilendirme atlaması, saldırganların şifreleri, API anahtarlarını ve yönlendirme ayrıntılarını toplamasına olanak tanıyarak ağlarda yanal hareketi veya yapılandırma kurcalama yoluyla kalıcılığı kolaylaştırabilir.
Tehdit koruması için kurumsal ve KOBİ ortamlarında popüler olan Zyxel cihazları, özellikle kusurun 2FA etkinken bile devam etmesi nedeniyle riski artırıyor.
Zyxel, Ekim 2025 itibarıyla henüz bir yama yayınlamadı, ancak uzmanlar acil önlem alınmasını öneriyor: uzaktan web erişimini devre dışı bırakın, CGI uç noktalarında katı güvenlik duvarı kuralları uygulayın ve anormal zysh-cgi trafiğini izleyin.
Çözüm için satıcıların komutları tokenize etmesi, her bir alt komutu ayrı ayrı doğrulaması ve zincirlemeyi tamamen reddetmesi gerekir. CSRF belirteçlerinin eklenmesi ve hız sınırlaması savunmayı güçlendirebilir.
Siber güvenlik tehditleri geliştikçe bu olay, gömülü sistemlerde eksik giriş temizleme tehlikesinin altını çiziyor. Zyxel ATP/USG kullanan kuruluşların veri sızıntılarını önlemek için yapılandırmaları acilen denetlemesi gerekir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
