يتم استغلال خطأ التنفيذ عن بعد Nasty Zyxel

وفي نهاية الأسبوع الماضي، Rapid7 كشف خطأ سيئ في جدران الحماية Zyxel قد يسمح لمهاجم بعيد غير مصادق بتنفيذ تعليمات برمجية كمستخدم لا أحد.

لم تكن مشكلة البرمجة هي تحسين المدخلات، حيث تم تمرير حقلين إلى معالج CGI ليتم إدخالهما في مكالمات النظام. وكانت النماذج المتأثرة هي سلسلة VPN وATP، وUSG 100(W)، و200، و500، و700، وFlex 50(W)/USG20(W)-VPN.

في ذلك الوقت، قالت شركة Rapid7 إن هناك 15,000 عارضة أزياء متأثرة على الإنترنت وجدتها شودان. ومع ذلك، خلال عطلة نهاية الأسبوع، قامت مؤسسة Shadowserver بزيادة هذا العدد إلى أكثر من 20,800.

"الأكثر شيوعًا هي USG20-VPN (10K IPs) وUSG20W-VPN (5.7K IPs). معظم الطرز المتضررة CVE-2022-30525 موجودة في الاتحاد الأوروبي – فرنسا (4.5 ألف) وإيطاليا (4.4 ألف)”. تويتد.

وقالت المؤسسة أيضًا إنها لاحظت بدء الاستغلال في 13 مايو، وحثت المستخدمين على تصحيح الخطأ على الفور.

بعد أن أبلغت Rapid7 عن الثغرة الأمنية في 13 أبريل، أصدرت شركة تصنيع الأجهزة التايوانية تصحيحات بصمت في 28 أبريل. أدركت Rapid7 أن الإصدار قد حدث فقط في 9 مايو، وفي النهاية نشرت مدونتها ووحدة Metasploit جنبًا إلى جنب مع إشعار زيكسيل، ولم يكن سعيدًا بالجدول الزمني للأحداث.

كتب مكتشف الخطأ Jake Baines في Rapid7: "إن إصدار التصحيح هذا بمثابة إصدار تفاصيل عن الثغرات الأمنية، نظرًا لأن المهاجمين والباحثين يمكنهم عكس التصحيح بشكل تافه لمعرفة تفاصيل الاستغلال الدقيقة، بينما نادرًا ما يكلف المدافعون عناء القيام بذلك".

"لذلك، فإننا نصدر هذا الكشف مبكرًا لمساعدة المدافعين في اكتشاف الاستغلال ومساعدتهم في تحديد موعد تطبيق هذا الإصلاح في بيئاتهم الخاصة، وفقًا لتحمل المخاطر الخاصة بهم. وبعبارة أخرى، فإن التصحيح الصامت للثغرات الأمنية يميل إلى مساعدة المهاجمين النشطين فقط، ويترك المدافعين في حالة جهل بشأن المخاطر الحقيقية للمشكلات المكتشفة حديثًا.

من جانبها، ادعت شركة Zyxel أنه كان هناك "سوء فهم أثناء عملية تنسيق الكشف" وأنها "تتبع دائمًا مبادئ الكشف المنسق".

في نهاية شهر مارس، نشرت Zyxel نصيحة بشأن ثغرة أمنية أخرى في CVSS 9.8 في برنامج CGI الخاص بها والتي قد تسمح للمهاجم بتجاوز المصادقة والتجول في الجهاز مع وصول إداري.

التغطية ذات الصلة