Se está explotando el error desagradable de ejecución remota de Zyxel

A fines de la semana pasada, Rapid7 revelada un error desagradable en los cortafuegos Zyxel que podría permitir que un atacante remoto no autenticado ejecute código como el usuario nadie.

El problema de programación no era desinfectar la entrada, con dos campos pasados ​​​​a un controlador CGI que se introducían en las llamadas al sistema. Los modelos afectados fueron sus series VPN y ATP, y USG 100(W), 200, 500, 700 y Flex 50(W)/USG20(W)-VPN.

En ese momento, Rapid7 dijo que había 15,000 modelos afectados en Internet que Shodan había encontrado. Sin embargo, durante el fin de semana, Shadowserver Foundation aumentó ese número a más de 20,800.

“Los más populares son USG20-VPN (10K IP) y USG20W-VPN (5.7K IP). La mayoría de los modelos afectados por CVE-2022-30525 se encuentran en la UE: Francia (4.5K) e Italia (4.4K)”, tuiteó.

La Fundación también dijo que había visto el inicio de la explotación el 13 de mayo e instó a los usuarios a parchear de inmediato.

Después de que Rapid7 informara sobre la vulnerabilidad el 13 de abril, el fabricante de hardware taiwanés lanzó parches silenciosamente el 28 de abril. Rapid7 solo se dio cuenta de que el lanzamiento había ocurrido el 9 de mayo y finalmente publicó su blog y el módulo Metasploit junto con el Aviso Zyxel, y no estaba contento con la línea de tiempo de los eventos.

“Este lanzamiento de parche equivale a publicar detalles de las vulnerabilidades, ya que los atacantes e investigadores pueden revertir trivialmente el parche para conocer detalles precisos de explotación, mientras que los defensores rara vez se molestan en hacer esto”, escribió el descubridor del error de Rapid7, Jake Baines.

“Por lo tanto, estamos publicando esta divulgación temprano para ayudar a los defensores a detectar la explotación y ayudarlos a decidir cuándo aplicar esta solución en sus propios entornos, de acuerdo con sus propias tolerancias de riesgo. En otras palabras, el parcheo silencioso de vulnerabilidades tiende a ayudar solo a los atacantes activos y deja a los defensores en la oscuridad sobre el verdadero riesgo de los problemas recién descubiertos”.

Por su parte, Zyxel afirmó que hubo una "falta de comunicación durante el proceso de coordinación de divulgación" y que "siempre sigue los principios de divulgación coordinada".

A fines de marzo, Zyxel publicó un aviso sobre otra vulnerabilidad CVSS 9.8 en su programa CGI que podría permitir a un atacante eludir la autenticación y ejecutar el dispositivo con acceso administrativo.

Cobertura relacionada