Fieser Zyxel-Remote-Execution-Bug wird ausgenutzt

Ende letzter Woche hat Rapid7 offengelegt Ein böser Fehler in Zyxel-Firewalls, der es einem nicht authentifizierten Remote-Angreifer ermöglichen könnte, Code als Benutzer "nobody" auszuführen.

Das Programmierproblem bestand darin, die Eingabe nicht zu bereinigen, da zwei an einen CGI-Handler übergebene Felder in Systemaufrufe eingespeist wurden. Die betroffenen Modelle waren die Serien VPN und ATP sowie USG 100(W), 200, 500, 700 und Flex 50(W)/USG20(W)-VPN.

Damals gab Rapid7 an, dass Shodan 15,000 betroffene Modelle im Internet gefunden hatte. Am Wochenende hat die Shadowserver Foundation diese Zahl jedoch auf über 20,800 erhöht.

„Am beliebtesten sind USG20-VPN (10 IPs) und USG20W-VPN (5.7 IPs). Die meisten der von CVE-2022-30525 betroffenen Modelle befinden sich in der EU – Frankreich (4.5 KB) und Italien (4.4 KB)“, heißt es twitterte.

Die Stiftung sagte auch, sie habe gesehen, wie die Ausbeutung am 13. Mai begonnen habe, und forderte die Benutzer auf, sofort zu patchen.

Nachdem Rapid7 die Schwachstelle am 13. April gemeldet hatte, veröffentlichte der taiwanesische Hardwarehersteller am 28. April stillschweigend Patches. Rapid7 erkannte erst am 9. Mai, dass die Veröffentlichung erfolgt war, und veröffentlichte schließlich seinen Blog und das Metasploit-Modul nebenher Zyxel-Hinweis, und war mit dem Zeitplan der Ereignisse nicht zufrieden.

„Diese Patch-Veröffentlichung ist gleichbedeutend mit der Veröffentlichung von Details der Schwachstellen, da Angreifer und Forscher den Patch trivial rückgängig machen können, um genaue Ausnutzungsdetails zu erfahren, während Verteidiger sich selten die Mühe machen, dies zu tun“, schrieb Rapid7-Entdecker des Fehlers Jake Baines.

„Deshalb veröffentlichen wir diese Offenlegung frühzeitig, um die Verteidiger bei der Erkennung von Ausnutzung zu unterstützen und ihnen bei der Entscheidung zu helfen, wann sie diesen Fix in ihren eigenen Umgebungen entsprechend ihrer eigenen Risikotoleranz anwenden. Mit anderen Worten, das stille Patchen von Schwachstellen hilft tendenziell nur aktiven Angreifern und lässt die Verteidiger im Dunkeln über das wahre Risiko neu entdeckter Probleme.“

Zyxel seinerseits behauptete, es habe eine „Fehlkommunikation während des Offenlegungskoordinierungsprozesses“ gegeben und es „befolge immer die Grundsätze der koordinierten Offenlegung“.

Ende März veröffentlichte Zyxel ein Advisory für eine weitere CVSS 9.8-Schwachstelle in seinem CGI-Programm, die es einem Angreifer ermöglichen könnte, die Authentifizierung zu umgehen und das Gerät mit administrativem Zugriff zu umgehen.

Verwandte Abdeckung