ZYXEL’in ATP ve USG serisi ağ güvenliği cihazlarında, saldırganların iki faktörlü kimlik doğrulama korumalarını atlatmasına ve hassas sistem yapılandırmalarına yetkisiz erişim elde etmesine olanak tanıyan kritik bir yetkilendirme bypass güvenlik açığı ortaya çıktı.
CVE-2025-9133 olarak takip edilen bu güvenlik açığı, ZLD donanım yazılımı sürüm 5.40’ı çalıştıran cihazları etkiliyor ve koordineli bir güvenlik açığı açıklama sürecinin ardından 21 Ekim 2025’te kamuya açıklandı.
Güvenlik açığı, kimlik doğrulama doğrulama aşamasındaki bir zayıflıktan yararlanıyor ve özellikle yapılandırma sorguları ve değişiklikleri için ZLD sistemiyle iletişimi yöneten zysh-cgi ikili dosyasını hedefliyor.
Bu kusur, tehdit aktörlerinin 2FA doğrulama aşamasında kimlik doğrulama isteklerine kötü amaçlı komutlar eklemesine ve normalde kritik sistem dosyalarına erişimi kısıtlayan güvenlik kontrollerini etkili bir şekilde atlamasına olanak tanıyor.
İki faktörlü kimlik doğrulamanın etkin olduğu kullanıcılar etkilenen cihazlara giriş yaptıklarında, e-posta veya Google Authenticator yoluyla alınan doğrulama kodunu girmeleri istenir.
Ancak bu ara kimlik doğrulama durumu sırasında güvenlik açığı, saldırganların cihazın arka ucuna gönderilen komut dizelerini değiştirmesine olanak tanıyarak, onlara kimlik bilgileri, şifreleme anahtarları ve diğer hassas güvenlik parametrelerini içeren tüm sistem yapılandırmalarını görüntüleme ve indirme olanağı verir.
Rainpwn analisti, Ağustos 2025’te ZYXEL ağ cihazları üzerinde güvenlik araştırması yaparken bu güvenlik açığını tespit etti.
Araştırmacı, kimlik doğrulama mekanizmasının, 2FA doğrulama aşaması sırasında komut girişlerini düzgün bir şekilde doğrulamakta başarısız olduğunu ve yarı kimlik doğrulamalı kullanıcıların ayrıcalıklı işlemleri yürütebileceği, istismar edilebilir bir pencere yarattığını keşfetti.
Bu keşif, ZYXEL’in kimlik doğrulama uygulamasındaki sistemik sorunları vurgulayan başka bir kritik güvenlik açığı olan CVE-2025-8078’e paralel olarak gerçekleşti.
Komut Ekleme ve Beyaz Liste Baypas Mekanizması
Güvenlik açığı, zysh-cgi uç noktasının kullanıcı komutlarını işleme ve doğrulama biçimindeki temel bir kusurdan kaynaklanıyor.
ZYXEL, yarı kimlik doğrulamalı kullanıcıları teorik olarak yalnızca “sürümü göster” veya “kullanıcıları güncel göster” gibi belirli, önceden onaylanmış komutları çalıştırmayla sınırlayan beyaz listeye dayalı bir güvenlik kontrolü uyguladı.
Ancak doğrulama mekanizması, birleştirilmiş komutları simgeleştirmeden veya bölmeden yalnızca önek tabanlı dize eşleştirmesi gerçekleştirir.
Bu tasarım zayıflığı, saldırganların noktalı virgül ayırıcıları kullanarak birden fazla komutu zincirlemelerine ve meşru komutların yanı sıra yetkisiz komutları da etkili bir şekilde kaçırmalarına olanak tanır.
Bu istismar tekniği, kötü amaçlı bir komut parametresi ile /cgi-bin/zysh-cgi uç noktasına özel olarak biçimlendirilmiş bir HTTP POST isteğinin hazırlanmasını içerir.
Bir kavram kanıtı istismarı bunu göndererek gösterir: –
filter=js2&cmd=show%20version;show%20running-config&write=0Bu veride “sürümü göster” beyaz listeyle eşleşir ve ilk doğrulama kontrollerini geçer. Ancak sistem, noktalı virgül ayırıcısından sonra komutları ayrıştırmadığı veya doğrulamadığı için, sonraki “show Running-config” komutu, açıkça yetkilendirilmemesine rağmen tam ayrıcalıklarla yürütülür.
Birleştirilmiş dizenin tamamı, noktalı virgülü bir komut ayırıcı olarak yorumlayan ve her iki işlemi sırayla yürüten arka uç CLI ayrıştırıcısına doğrudan iletilir.
Sistem bu isteği işlediğinde, cihaz yapılandırmasının tamamını JavaScript formatlı veri dizilerinde döndürür ve yönetici kimlik bilgileri, VPN anahtarları, güvenlik duvarı kuralları ve ağ topolojisi ayrıntıları dahil olmak üzere hassas bilgileri açığa çıkarır.
Güvenlik açığı, özellikle en kısıtlı erişim düzeyini temsil eden 0x14 kullanıcı türü parametre değerine sahip kısıtlı profillere atanan kullanıcıları etkiliyor.
Zysh-cgi yürütülebilir dosyasının ikili analizi, kodun, komut öneklerini doğrulamak için strncmp() işlev çağrılarını kullandığını, ancak uygun komut simgeleştirmesini veya zincirleme işlemlerin özyinelemeli doğrulamasını uygulamada başarısız olduğunu ortaya koyuyor.
“filter=js2” parametresi, sunucuya verileri HTML yerine JavaScript formatında döndürmesi talimatını verirken, “write=0” işlemin salt okunur kalmasını sağlayarak, yapılandırma verilerini göstermeye devam ederken yanlışlıkla yapılan sistem değişikliklerini de önler.
Bu mimari kusur, yetersiz giriş doğrulamanın aşırı izin veren komut iletme mekanizmalarıyla bir araya gelmesinin, çok faktörlü kimlik doğrulamanın etkin olduğu sistemlerde bile nasıl kritik güvenlik açıkları yaratabileceğini gösteriyor.
ZYXEL, 20 Ekim 2025’te bir ürün yazılımı yaması yayınladı ve 21 Ekim 2025’te güvenlik tavsiyelerini yayınlayarak tüm ATP ve USG serisi kullanıcılarını bu kritik güvenlik açığını gidermek için cihazlarını derhal güncellemeye çağırdı.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
