Den ubehagelige Zyxel fjernudførelsesfejl bliver udnyttet

I slutningen af ​​sidste uge, Rapid7 videregives en grim fejl i Zyxel-firewalls, der kunne give en uautoriseret fjernangriber mulighed for at udføre kode som ingen-bruger.

Programmeringsproblemet var ikke desinficerende input, idet to felter blev sendt til en CGI-handler, der blev ført ind i systemopkald. De berørte modeller var VPN- og ATP-serien og USG 100(W), 200, 500, 700 og Flex 50(W)/USG20(W)-VPN.

På det tidspunkt sagde Rapid7, at der var 15,000 berørte modeller på internettet, som Shodan havde fundet. I løbet af weekenden har Shadowserver Foundation dog øget dette antal til over 20,800.

"Mest populære er USG20-VPN (10K IP'er) og USG20W-VPN (5.7K IP'er). De fleste af de CVE-2022-30525 berørte modeller er i EU – Frankrig (4.5K) og Italien (4.4K),« Tweetet.

Fonden sagde også, at den havde set udnyttelse starte den 13. maj, og opfordrede brugere til at lappe med det samme.

Efter Rapid7 rapporterede sårbarheden den 13. april, udgav den taiwanske hardwareproducent stille patches den 28. april. Rapid7 indså først, at udgivelsen var sket den 9. maj, og offentliggjorde til sidst sin blog og Metasploit-modulet sammen med Zyxel meddelelse, og var ikke tilfreds med tidslinjen for begivenheder.

"Denne patch-udgivelse er ensbetydende med at frigive detaljer om sårbarhederne, da angribere og forskere trivielt kan vende patchen for at lære præcise udnyttelsesdetaljer, mens forsvarere sjældent gider at gøre dette," skrev Rapid7-opdageren af ​​fejlen Jake Baines.

"Derfor frigiver vi denne afsløring tidligt for at hjælpe forsvarere med at opdage udnyttelse og for at hjælpe dem med at beslutte, hvornår de skal anvende denne rettelse i deres egne miljøer i henhold til deres egne risikotolerancer. Med andre ord har tavs sårbarhedspatching en tendens til kun at hjælpe aktive angribere og efterlader forsvarere i mørket om den sande risiko for nyopdagede problemer."

Zyxel hævdede på sin side, at der var en "fejlkommunikation under koordineringsprocessen for offentliggørelse", og den "følger altid principperne for koordineret offentliggørelse".

I slutningen af ​​marts offentliggjorde Zyxel en meddelelse om en anden CVSS 9.8-sårbarhed i sit CGI-program, der kunne give en hacker mulighed for at omgå godkendelse og løbe rundt på enheden med administrativ adgang.

Relateret Dækning