در پایان هفته گذشته، Rapid7 افشا یک باگ ناخوشایند در فایروال های Zyxel که می تواند به یک مهاجم راه دور تایید نشده اجازه دهد تا کد را به عنوان کاربر هیچکس اجرا کند.
مشکل برنامهنویسی ورودی سالمسازی نبود، با دو فیلد به یک کنترلکننده CGI که به تماسهای سیستمی تغذیه میشوند. مدل های تحت تاثیر سری VPN و ATP و USG 100(W)، 200، 500، 700، و Flex 50(W)/USG20(W)-VPN بودند.
در آن زمان، Rapid7 گفت 15,000 مدل آسیب دیده در اینترنت وجود داشت که Shodan آنها را پیدا کرده بود. با این حال، در آخر هفته، Shadowserver Foundation این تعداد را به بیش از 20,800 افزایش داده است.
محبوبترین آنها USG20-VPN (10K IP) و USG20W-VPN (5.7K IP) هستند. بیشتر مدلهای CVE-2022-30525 در اتحادیه اروپا - فرانسه (4.5K) و ایتالیا (4.4K) هستند. توییت.
این بنیاد همچنین گفت که شاهد شروع بهره برداری در 13 مه بوده است و از کاربران خواست فوراً وصله کنند.
پس از اینکه Rapid7 در 13 آوریل این آسیبپذیری را گزارش کرد، سازنده سختافزار تایوانی بهطور بیصدا وصلههایی را در 28 آوریل منتشر کرد. Rapid7 فقط متوجه شد که انتشار در 9 می رخ داده است و در نهایت وبلاگ و ماژول Metasploit خود را در کنار اطلاعیه زایکسل، و از جدول زمانی رویدادها راضی نبود.
جیک بینز، کاشف باگ Rapid7، نوشت: «این انتشار وصله مساوی با انتشار جزئیات آسیبپذیریها است، زیرا مهاجمان و محققان میتوانند بهطور پیش پاافتاده وصله را معکوس کنند تا جزئیات دقیق بهرهبرداری را یاد بگیرند، در حالی که مدافعان به ندرت زحمت انجام این کار را میدهند.»
"بنابراین، ما این افشاگری را زودتر منتشر می کنیم تا به مدافعان در تشخیص سوء استفاده کمک کنیم و به آنها کمک کنیم تا تصمیم بگیرند که چه زمانی این اصلاح را در محیط های خود اعمال کنند، مطابق با میزان تحمل ریسک خود. به عبارت دیگر، وصله آسیبپذیری بیصدا تنها به مهاجمان فعال کمک میکند و مدافعان را در مورد خطر واقعی مسائل تازه کشف شده در تاریکی رها میکند.
به نوبه خود، زایکسل ادعا کرد که "ارتباط نادرست در طول فرآیند هماهنگی افشا" وجود داشته است و "همیشه از اصول افشای هماهنگ پیروی می کند".
در پایان ماه مارس، Zyxel توصیهای برای آسیبپذیری CVSS 9.8 دیگر در برنامه CGI خود منتشر کرد که میتواند به مهاجم اجازه دهد تا احراز هویت را دور بزند و با دسترسی مدیریتی دستگاه را اجرا کند.