Dans un article publié sur le Frycos Security Diary, un analyste en cybersécurité partage sa découverte d’une variante de vulnérabilité Nday sur le Zyxel NWA50AX Pro, un point d’accès WiFi 6 destiné aux petites entreprises.
L’analyste, en vacances, a exploré le firmware de l’appareil et a découvert une configuration du serveur lighttpd permettant l’accès non authentifié à certains endpoints CGI. En analysant les fichiers de configuration et en testant les réponses HTTP, il a pu accéder à des fichiers CGI sans authentification, révélant une potentielle faille de sécurité.
En utilisant des techniques d’analyse statique et dynamique, l’analyste a identifié une vulnérabilité de traversée de chemin dans le fichier file_upload-cgi, permettant la suppression arbitraire de fichiers. Cette vulnérabilité pourrait être exploitée pour supprimer ou remplacer des fichiers critiques sur le système.
L’article conclut que la découverte de cette vulnérabilité souligne l’importance de la vigilance même pendant les vacances et met en lumière les risques liés au partage de code entre différents produits d’un même vendeur.
🧠 TTP et IOC détecté
TTP
Exploitation of Vulnerability (T1588.006), Path Traversal (T1006), Unauthenticated Access (T1078)
IOC
No specific IOC (hash, domain, IP) provided in the analysis
🔗 Source originale : https://frycos.github.io/vulns4free/2025/06/17/zyxel-nday-variant.html