Iskorištava se nezgodna greška u daljinskom izvršavanju Zyxela

Krajem prošlog tjedna Rapid7 objaviti gadna pogreška u Zyxel vatrozidima koja bi mogla omogućiti neautentificiranom udaljenom napadaču da izvrši kod kao nitko korisnik.

Problem s programiranjem nije bio saniranje unosa, s dva polja proslijeđena CGI rukovatelju koja su unesena u sistemske pozive. Pogođeni modeli bili su njegove serije VPN i ATP te USG 100(W), 200, 500, 700 i Flex 50(W)/USG20(W)-VPN.

Rapid7 je u to vrijeme rekao da je na internetu bilo 15,000 pogođenih modela koje je Shodan pronašao. Međutim, tijekom vikenda, Shadowserver Foundation povećao je taj broj na preko 20,800.

“Najpopularniji su USG20-VPN (10K IP-ova) i USG20W-VPN (5.7K IP-ova). Većina modela zahvaćenih CVE-2022-30525 nalazi se u EU – Francuskoj (4.5K) i Italiji (4.4K),” piše Tweetano.

Zaklada je također rekla da je vidjela početak eksploatacije 13. svibnja i pozvala korisnike da odmah zakrpe.

Nakon što je Rapid7 prijavio ranjivost 13. travnja, tajvanski proizvođač hardvera tiho je objavio zakrpe 28. travnja. Rapid7 je tek shvatio da se izdanje dogodilo 9. svibnja, te je na kraju objavio svoj blog i Metasploit modul uz Obavijest Zyxela, i nije bio zadovoljan vremenskim slijedom događaja.

"Ovo izdanje zakrpe jednako je objavljivanju detalja o ranjivostima, budući da napadači i istraživači mogu trivijalno preokrenuti zakrpu kako bi saznali precizne detalje iskorištavanja, dok se branitelji rijetko trude to učiniti", napisao je Rapid7 otkrivač buga Jake Baines.

“Stoga rano objavljujemo ovu objavu kako bismo pomogli braniteljima u otkrivanju iskorištavanja i kako bismo im pomogli da odluče kada primijeniti ovaj popravak u svojim okruženjima, u skladu s vlastitim tolerancijama rizika. Drugim riječima, tiho krpanje ranjivosti pomaže samo aktivnim napadačima, a ostavlja branitelje u neznanju o pravom riziku od novootkrivenih problema.”

Sa svoje strane, Zyxel je tvrdio da je došlo do "pogrešne komunikacije tijekom procesa koordinacije otkrivanja" i da "uvijek slijedi načela koordiniranog otkrivanja".

Krajem ožujka, Zyxel je objavio savjet za drugu ranjivost CVSS 9.8 u svom CGI programu koja bi mogla omogućiti napadaču da zaobiđe autentifikaciju i trči po uređaju s administrativnim pristupom.

Povezano područje



izvor