Un méchant bug d'exécution à distance de Zyxel est exploité

À la fin de la semaine dernière, Rapid7 divulgués un vilain bug dans les pare-feu Zyxel qui pourrait permettre à un attaquant distant non authentifié d'exécuter du code en tant qu'utilisateur personne.

Le problème de programmation n'était pas de nettoyer les entrées, avec deux champs transmis à un gestionnaire CGI étant intégrés dans les appels système. Les modèles concernés étaient ses séries VPN et ATP, ainsi que les USG 100(W), 200, 500, 700 et Flex 50(W)/USG20(W)-VPN.

À l'époque, Rapid7 avait déclaré que Shodan avait trouvé sur Internet 15,000 20,800 modèles concernés. Cependant, au cours du week-end, la Shadowserver Foundation a porté ce nombre à plus de XNUMX XNUMX.

« Les plus populaires sont USG20-VPN (10 20 IP) et USG5.7W-VPN (2022 30525 IP). La plupart des modèles concernés par le CVE-4.5-4.4 se trouvent dans l'UE – France (XNUMXK) et Italie (XNUMXK)", indique-t-il. tweeté.

La Fondation a également déclaré avoir vu l'exploitation démarrer le 13 mai et a exhorté les utilisateurs à appliquer immédiatement le correctif.

Après que Rapid7 ait signalé la vulnérabilité le 13 avril, le fabricant de matériel taïwanais a publié silencieusement des correctifs le 28 avril. Rapid7 n'a réalisé que la publication avait eu lieu le 9 mai et a finalement publié son blog et son module Metasploit aux côtés du Avis Zyxel, et n’était pas satisfait de la chronologie des événements.

"Cette publication de correctif équivaut à divulguer des détails sur les vulnérabilités, puisque les attaquants et les chercheurs peuvent facilement inverser le correctif pour connaître les détails précis de l'exploitation, alors que les défenseurs prennent rarement la peine de le faire", a écrit Jake Baines, découvreur du bug chez Rapid7.

« Par conséquent, nous publions cette divulgation plus tôt afin d'aider les défenseurs à détecter l'exploitation et de les aider à décider quand appliquer ce correctif dans leur propre environnement, en fonction de leur propre tolérance au risque. En d’autres termes, les correctifs silencieux de vulnérabilités ont tendance à aider uniquement les attaquants actifs et laissent les défenseurs dans l’ignorance quant au véritable risque de problèmes nouvellement découverts.

Pour sa part, Zyxel a affirmé qu'il y avait eu un « mal de communication lors du processus de coordination de la divulgation » et qu'elle « suivait toujours les principes de la divulgation coordonnée ».

Fin mars, Zyxel a publié un avis concernant une autre vulnérabilité CVSS 9.8 dans son programme CGI qui pourrait permettre à un attaquant de contourner l'authentification et de contourner l'appareil avec un accès administratif.

Couverture connexe