Выкарыстоўваецца непрыемная памылка аддаленага выканання Zyxel

У канцы мінулага тыдня Rapid7 раскрыты непрыемная памылка ў брандмаўэрах Zyxel, якая магла дазволіць неаўтэнтыфікаванаму аддаленаму зламысніку выканаць код як ніхто.

Праблема праграмавання не заключалася ў дэзінфекцыі ўводу, калі два палі, перададзеныя апрацоўшчыку CGI, уключаліся ў сістэмныя выклікі. Мадэлі, якія пацярпелі, былі серыі VPN і ATP, а таксама USG 100(W), 200, 500, 700 і Flex 50(W)/USG20(W)-VPN.

У той час Rapid7 заявіла, што ў Інтэрнэце было 15,000 20,800 закранутых мадэляў, якія Шодан знайшоў. Аднак на выходных Shadowserver Foundation павялічыў гэтую лічбу больш чым да XNUMX XNUMX.

«Самымі папулярнымі з'яўляюцца USG20-VPN (10 тыс. IP-адрасоў) і USG20W-VPN (5.7 тыс. IP-адрасоў). Большасць мадэляў, закранутых CVE-2022-30525, знаходзяцца ў ЕС - Францыя (4.5K) і Італія (4.4K)», - гаворыцца ў паведамленні. чирикнул.

Фонд таксама паведаміў, што бачыў, як эксплуатацыя пачалася 13 мая, і заклікаў карыстальнікаў неадкладна ўнесці патчы.

Пасля таго як Rapid7 паведаміў аб уразлівасці 13 красавіка, тайваньскі вытворца апаратнага забеспячэння моўчкі выпусціў патчы 28 красавіка. Rapid7 зразумеў, што выпуск адбыўся толькі 9 мая, і ў рэшце рэшт апублікаваў свой блог і модуль Metasploit разам з Апавяшчэнне Zyxel, і не быў задаволены раскладам падзей.

«Гэты выпуск патча раўнасільны раскрыццю дэталяў уразлівасцяў, паколькі зламыснікі і даследчыкі могуць проста адмяніць патч, каб даведацца пра дакладныя дэталі выкарыстання, у той час як абаронцы рэдка робяць гэта», — напісаў Джэйк Бэйнс, які выявіў памылку Rapid7.

«Такім чынам, мы датэрмінова выпускаем гэтую інфармацыю, каб дапамагчы абаронцам у выяўленні эксплуатацыі і дапамагчы ім вырашыць, калі прымяніць гэтае выпраўленне ў іх уласным асяроддзі, у адпаведнасці з іх уласнымі дапушчальнымі рызыкамі. Іншымі словамі, бясшумнае выпраўленне ўразлівасцяў, як правіла, дапамагае толькі актыўным зламыснікам і пакідае абаронцаў у недасведчанасці аб сапраўднай рызыцы новых выяўленых праблем».

Са свайго боку, Zyxel сцвярджаў, што адбылася «няправільная сувязь падчас працэсу каардынацыі раскрыцця», і ён «заўсёды прытрымліваецца прынцыпаў скаардынаванага раскрыцця інфармацыі».

У канцы сакавіка Zyxel апублікаваў рэкамендацыі па іншай уразлівасці CVSS 9.8 у сваёй праграме CGI, якая можа дазволіць зламысніку абысці аўтэнтыфікацыю і працаваць на прыладзе з адміністрацыйным доступам.

звязаныя пакрыцця