Na konci minulého týdne Rapid7 zveřejněny ošklivá chyba ve firewallech Zyxel, která by mohla umožnit neověřenému vzdálenému útočníkovi spustit kód jako uživatel typu Nobody.
Problémem s programováním bylo nedezinfikování vstupu, přičemž dvě pole předaná obslužné rutině CGI byla vložena do systémových volání. Dotčené modely byly řady VPN a ATP a USG 100(W), 200, 500, 700 a Flex 50(W)/USG20(W)-VPN.
V té době Rapid7 uvedl, že na internetu bylo 15,000 20,800 postižených modelů, které Shodan našel. Během víkendu však Shadowserver Foundation toto číslo navýšila na více než XNUMX XNUMX.
„Nejpopulárnější jsou USG20-VPN (10K IP) a USG20W-VPN (5.7K IP). Většina modelů postižených CVE-2022-30525 je v EU – Francie (4.5 tisíc) a Itálie (4.4 tisíc),“ uvádí tweeted.
Nadace také uvedla, že 13. května došlo k zahájení vykořisťování a vyzvala uživatele, aby okamžitě provedli opravu.
Poté, co Rapid7 13. dubna ohlásil zranitelnost, tchajwanský výrobce hardwaru v tichosti vydal záplaty 28. dubna. Rapid7 si uvědomil, že k vydání došlo až 9. května, a nakonec zveřejnil svůj blog a modul Metasploit vedle Upozornění Zyxelua nebyl spokojen s časovou osou událostí.
"Toto vydání opravy se rovná uvolnění podrobností o zranitelnosti, protože útočníci a výzkumníci mohou triviálně obrátit opravu, aby se dozvěděli přesné podrobnosti o zneužití, zatímco obránci se s tím jen zřídka obtěžují," napsal objevitel chyby Rapid7 Jake Baines.
„Proto zveřejňujeme toto zveřejnění brzy, abychom pomohli obráncům při odhalování zneužívání a pomohli jim rozhodnout se, kdy použít tuto opravu v jejich vlastním prostředí, podle jejich vlastní tolerance rizika. Jinými slovy, tiché záplatování zranitelnosti obvykle pomáhá pouze aktivním útočníkům a nechává obránce v nevědomosti o skutečném riziku nově objevených problémů.“
Zyxel tvrdil, že došlo k „nesprávné komunikaci během procesu koordinace zveřejňování“ a „vždy se řídí zásadami koordinovaného zveřejňování“.
Na konci března Zyxel zveřejnil upozornění na další zranitelnost CVSS 9.8 ve svém programu CGI, která by mohla útočníkovi umožnit obejít autentizaci a proběhnout zařízení s administrativním přístupem.