Gadna greška u daljinskom izvršavanju Zyxela se iskorištava

Krajem prošle sedmice, Rapid7 obelodanjeno gadna greška u Zyxel zaštitnim zidovima koja bi mogla dozvoliti neautorizovanom udaljenom napadaču da izvrši kod kao niko korisnik.

Problem sa programiranjem nije bio dezinfekcija unosa, sa dva polja koja su proslijeđena CGI rukovatelju koja su se unosila u sistemske pozive. Pogođeni modeli bili su VPN i ATP serije, te USG 100(W), 200, 500, 700 i Flex 50(W)/USG20(W)-VPN.

U to vrijeme, Rapid7 je rekao da postoji 15,000 pogođenih modela na internetu koje je Shodan pronašao. Međutim, tokom vikenda, Shadowserver fondacija je povećala taj broj na preko 20,800.

“Najpopularniji su USG20-VPN (10K IP-ova) i USG20W-VPN (5.7K IP-ova). Većina modela zahvaćenih CVE-2022-30525 nalazi se u EU – Francuskoj (4.5K) i Italiji (4.4K)”, tweeted.

Fondacija je također rekla da je eksploatacija počela 13. maja i pozvala korisnike da odmah zakrpe.

Nakon što je Rapid7 prijavio ranjivost 13. aprila, tajvanski proizvođač hardvera je tiho objavio zakrpe 28. aprila. Rapid7 je tek shvatio da se izdanje dogodilo 9. maja i na kraju je objavio svoj blog i Metasploit modul zajedno sa Zyxel obaveštenje, i nije bio zadovoljan vremenskom linijom događaja.

“Ovo izdanje zakrpe je jednako objavljivanju detalja o ranjivostima, budući da napadači i istraživači mogu trivijalno poništiti zakrpu kako bi saznali precizne detalje o eksploataciji, dok se branitelji rijetko trude da to urade”, napisao je Rapid7 otkrivač greške Jake Baines.

“Stoga, mi objavljujemo ovo otkrivanje rano kako bismo pomogli braniocima da otkriju eksploataciju i da im pomognemo da odluče kada će primijeniti ovu ispravku u svom okruženju, u skladu sa svojim tolerancijama rizika. Drugim riječima, tiho zakrpanje ranjivosti obično pomaže samo aktivnim napadačima, a branioce ostavlja u mraku o pravom riziku od novootkrivenih problema.”

Sa svoje strane, Zyxel je tvrdio da je došlo do „pogrešne komunikacije tokom procesa koordinacije objelodanjivanja“ i da „uvijek slijedi principe koordiniranog otkrivanja“.

Krajem marta, Zyxel je objavio savjet za još jednu ranjivost CVSS 9.8 u svom CGI programu koja bi mogla omogućiti napadaču da zaobiđe autentifikaciju i trči po uređaju s administrativnim pristupom.

Povezani pokrivenost