Експлоатира се гадна грешка в дистанционното изпълнение на Zyxel

В края на миналата седмица Rapid7 разкрита неприятна грешка в защитните стени на Zyxel, която може да позволи на неавтентифициран отдалечен нападател да изпълни код като никой потребител.

Проблемът с програмирането не беше дезинфекцирането на входа, като две полета, предадени на CGI манипулатор, бяха въведени в системни извиквания. Засегнатите модели бяха неговите серии VPN и ATP и USG 100(W), 200, 500, 700 и Flex 50(W)/USG20(W)-VPN.

По това време Rapid7 каза, че има 15,000 20,800 засегнати модела в интернет, които Shodan е открил. През уикенда обаче Shadowserver Foundation увеличи този брой до над XNUMX XNUMX.

„Най-популярни са USG20-VPN (10K IP) и USG20W-VPN (5.7K IP). Повечето от моделите, засегнати от CVE-2022-30525, са в ЕС – Франция (4.5K) и Италия (4.4K),” то Споделено в Twitter.

Фондацията също така каза, че е видяла началото на експлоатацията на 13 май и призова потребителите да направят корекция незабавно.

След като Rapid7 съобщи за уязвимостта на 13 април, тайванският производител на хардуер тихомълком пусна корекции на 28 април. Rapid7 разбра, че пускането е станало едва на 9 май и в крайна сметка публикува своя блог и модул Metasploit заедно с Известие на Zyxelи не беше доволен от графика на събитията.

„Това пускане на корекция е равносилно на оповестяване на подробности за уязвимостите, тъй като нападателите и изследователите могат тривиално да обърнат корекцията, за да научат точните подробности за експлоатацията, докато защитниците рядко си правят труда да направят това“, пише откривателят на бъга в Rapid7 Джейк Бейнс.

„Следователно, ние пускаме това разкриване по-рано, за да подпомогнем защитниците при откриването на експлоатация и да им помогнем да решат кога да приложат тази корекция в собствената си среда, според собствените си допустими рискове. С други думи, тихото коригиране на уязвимости обикновено помага само на активните нападатели и оставя защитниците на тъмно за истинския риск от новооткрити проблеми.

От своя страна Zyxel твърди, че е имало „грешна комуникация по време на процеса на координиране на разкриването“ и „винаги следва принципите на координирано разкриване“.

В края на март Zyxel публикува съвет за друга уязвимост на CVSS 9.8 в своята CGI програма, която може да позволи на атакуващ да заобиколи удостоверяването и да работи около устройството с административен достъп.

Свързано покритие