# CVE-2020-9054 - Zyxel NAS: Injeção de Comandos OS sem Autenticação > [!high] CVE-2020-9054 é uma injeção de comandos crítica em NAS Zyxel — permite execução de código root sem autenticação via parâmetro username, explorada pela campanha Raptor Train do Volt Typhoon para recrutar dispositivos em infraestrutura de botnet. ## Visão Geral CVE-2020-9054 é uma vulnerabilidade crítica de **injeção de comandos OS** em dispositivos **NAS (Network-Attached Storage) da Zyxel**. O parâmetro `username` do componente `weblogin.cgi` não realiza sanitização adequada, permitindo que um atacante não autenticado injete comandos do sistema operacional com privilégios de root. A Zyxel é uma fabricante popular de equipamentos de rede e NAS para pequenas e médias empresas, com presença relevante no mercado brasileiro. Dispositivos NAS frequentemente armazenam dados críticos — backups, arquivos compartilhados, e em alguns casos arquivos de configuração — tornando seu comprometimento particularmente danoso. A campanha **Raptor Train**, operada pelo grupo chinês **Volt Typhoon**, utilizou CVE-2020-9054 entre outras vulnerabilidades IoT para construir uma infraestrutura de botnet multi-tier usada como relay e proxy para operações de espionagem. Dispositivos Zyxel NAS vulneráveis foram recrutados massivamente por esta infraestrutura. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | OS command injection sem autenticação | | Componente | `weblogin.cgi` | | Parâmetro | `username` | | Contexto de execução | root | | PoC público | Disponível | ## TTPs Relacionadas - [[t1190-exploit-public-facing-application|T1190]] - Exploração do NAS exposto - [[t1098-account-manipulation|T1098]] - Modificação de acesso ao dispositivo - [[t1583-003-botnets|T1583.003]] - Recrutamento em botnet de infraestrutura - [[m1030-network-segmentation|M1030]] - Isolar NAS da exposição direta à internet ## Contexto LATAM > [!latam] NAS Zyxel são comuns em pequenas e médias empresas e escritórios domésticos no Brasil, frequentemente expostos diretamente à internet para acesso remoto. A combinação de dispositivos legados sem atualização automática de firmware e exposição pública é um vetor de risco recorrente em organizações brasileiras de menor porte. ## Detecção e Defesa **Mitigações recomendadas:** - Atualizar firmware para V5.21(AAZF.1)C0 ou posterior - Remover dispositivos NAS da exposição direta à internet - Usar VPN para acesso remoto ao NAS - Verificar processos suspeitos em execução no dispositivo ## Referências - [Zyxel Security Advisory — CVE-2020-9054](https://www.zyxel.com/support/remote-code-execution-vulnerability-of-NAS-products.shtml) - [CERT-CC — Vulnerability Note VU#498544](https://kb.cert.org/vuls/id/498544) - [Rapid7 — Zyxel NAS Code Execution](https://www.rapid7.com/db/modules/exploit/linux/http/zyxel_nas_weblogin_cgi_rce/)