HackerHood di RHC scopre un nuovo 0day nei Firewall ZYXEL: il rischio è l’accesso Root

Una nuova vulnerabilità scoperta dal ricercatore italiano Alessandro Sgreccia (rainpwn) del gruppo HackerHood di Red Hot Cyber è stata scoperta nei dispositivi ZYXEL permette di ottenere accesso root attraverso una configurazione apparentemente innocua del servizio DDNS. Sgreccia (Ethical hacker di HackerHood conosciuto per varie CVE su Zixel compresa la RCE CVE-2022-0342 da 9.8), ha attivato una segnalazione responsabile a Zyxel.

Durante un’analisi di routine sui dispositivi ZYXEL, il ricercatore Alessandro Sgreccia ha scoperto una vulnerabilità critica che consente l’esecuzione di codice remoto con privilegi massimi. La falla, identificata come CVE-2025-11730, si trova nella gestione del servizio Dynamic DNS, una funzionalità utilizzata per aggiornare automaticamente l’indirizzo IP pubblico quando questo cambia. La scoperta dimostra ancora una volta come funzionalità apparentemente banali possano nascondere gravi problemi di sicurezza quando l’input dell’utente non viene adeguatamente sanitizzato.

I dettagli tecnici e il PoC sono disponibili sul suo blog

Come Funziona la Vulnerabilità

Il problema risiede nella configurazione del profilo DDNS, dove è possibile specificare un URL che il dispositivo utilizzerà per determinare il proprio indirizzo IP pubblico. Quando un amministratore configura questo parametro, il firewall esegue internamente un comando curl verso l’URL specificato e salva la risposta in un file temporaneo.

Tuttavia, il sistema non valida correttamente l’input, permettendo a un attaccante di inserire comandi addizionali concatenati all’URL legittimo. Il dispositivo, fidandosi ciecamente della configurazione, esegue questi comandi con privilegi di root, aprendo la porta a una compromissione totale del sistema.

Bypassare le Restrizioni: Un Gioco di Ingegno

L’analisi ha rivelato che il sistema implementa alcune protezioni, bloccando caratteri comunemente utilizzati nelle injection come parentesi graffe, virgole, spazi, cancelletti e virgolette. Tuttavia, i caratteri critici come il simbolo del dollaro, il punto e virgola e il backslash non erano filtrati.

Sgreccia ha scoperto che utilizzando la variabile di sistema $IFS (Internal Field Separator) era possibile codificare gli spazi necessari per costruire comandi validi. In alternativa, ha dimostrato l’utilizzo di encoding esadecimale con escape sequences per bypassare completamente le restrizioni sui caratteri. Queste tecniche, sebbene richiedano una conoscenza approfondita delle shell Unix, sono alla portata di qualsiasi attaccante determinato.

Criticità e Impatto della Vulnerabilità

La falla consente l’esecuzione di comandi con privilegi di root, il massimo livello di accesso su un sistema Linux. In secondo luogo, è sfruttabile attraverso l’interfaccia di amministrazione del dispositivo, il che significa che chiunque abbia accesso alle credenziali amministrative può compromettere completamente il sistema.

Inoltre, esiste un rischio collaterale: se l’URL inserito è troppo lungo, il daemon ddns_had va in crash a causa di un overflow del buffer, rendendo il servizio DDNS inutilizzabile e richiedendo un riavvio fisico del dispositivo. Questo potrebbe essere sfruttato anche per attacchi denial-of-service mirati.

Dallo Sfruttamento alla Shell di Root

Sgreccia ha dimostrato due metodi di sfruttamento pratici. Il primo prevede la copia del file /etc/ passwd originale, la sua modifica tramite FTP per cambiare la shell dell’utente da /bin/zysh a /bin/bash, e il successivo ripristino della versione modificata sul sistema. Al login successivo, l’attaccante ottiene una shell di root completa.

Il secondo metodo è ancora più diretto: si configura un server web che ospita un file crontab malevolo contenente una reverse shell, si utilizza l’injection per scaricare questo file nella posizione /etc/crontab, e si attende che il sistema esegua automaticamente la connessione verso la macchina dell’attaccante. In entrambi i casi, l’accesso root è garantito in pochi minuti.

Disclosure Responsabile e Rimediazione

Sgreccia ha seguito un processo di disclosure coordinata, notificando ZYXEL il 10 settembre 2025.

L’azienda ha prontamente riconosciuto la vulnerabilità, assegnandole l’identificativo CVE-2025-11730 il 16 ottobre. Inizialmente prevista per il 13 gennaio 2026, la pubblicazione dell’advisory di sicurezza è stata posticipata al 5 febbraio 2026 per consentire il rilascio di una patch firmware il giorno precedente.

Questo timeline riflette le best practice della sicurezza informatica, dando ai produttori il tempo di sviluppare una correzione e agli utenti finali l’opportunità di proteggere i propri sistemi prima della divulgazione pubblica. Gli amministratori di sistemi ZYXEL sono invitati ad applicare l’aggiornamento firmware non appena disponibile per mitigare questa seria minaccia alla sicurezza.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.