A csúnya Zyxel távoli végrehajtási hibát kihasználják

A múlt hét végén a Rapid7 ismertetett egy csúnya hiba a Zyxel tűzfalakban, amely lehetővé teheti egy nem hitelesített távoli támadó számára, hogy senki felhasználóként kódot hajtson végre.

A programozási probléma nem a bemenet megtisztítása volt, mivel két mezőt továbbítottak egy CGI-kezelőnek a rendszerhívásokba. Az érintett modellek a VPN és az ATP sorozat, valamint az USG 100(W), 200, 500, 700 és Flex 50(W)/USG20(W)-VPN voltak.

Akkoriban a Rapid7 azt mondta, hogy 15,000 20,800 érintett modell volt az interneten, amelyeket Shodan talált. Azonban a hétvégén a Shadowserver Foundation ezt a számot XNUMX XNUMX fölé emelte.

„A legnépszerűbbek az USG20-VPN (10K IP) és az USG20W-VPN (5.7K IP). A legtöbb CVE-2022-30525 érintett modell az EU-ban található – Franciaországban (4.5 ezer) és Olaszországban (4.4 ezer). Twitteren.

Az Alapítvány azt is közölte, hogy május 13-án megkezdődött a kizsákmányolás, és felszólította a felhasználókat, hogy haladéktalanul javítsanak.

Miután a Rapid7 április 13-án jelentette a sebezhetőséget, a tajvani hardvergyártó április 28-án csendben kiadta a javításokat. A Rapid7 csak május 9-én vette észre, hogy a kiadás megtörtént, és végül közzétette blogját és Metasploit modulját a Zyxel észrevétel, és nem volt elégedett az események idővonalával.

"Ez a javítás egyenértékű a sebezhetőség részleteinek kiadásával, mivel a támadók és a kutatók triviálisan visszafordíthatják a javítást, hogy pontos kizsákmányolási részleteket tudjanak meg, míg a védők ritkán veszik a fáradságot, hogy ezt megtegyék" - írta a hiba Rapid7 felfedezője, Jake Baines.

„Ezért korán közzétesszük ezt a tájékoztatást, hogy segítsük a védőket a kizsákmányolás észlelésében, és segítsünk nekik eldönteni, mikor alkalmazzák ezt a javítást saját környezetükben, saját kockázati tűréshatáraiknak megfelelően. Más szavakkal, a sebezhetőségek csendes javítása általában csak az aktív támadókon segít, és a védőket nem ismeri az újonnan felfedezett problémák valódi kockázatával kapcsolatban.

A Zyxel a maga részéről azt állította, hogy „félreértés történt a közzétételi koordinációs folyamat során”, és „mindig követi az összehangolt közzététel alapelveit”.

Március végén a Zyxel egy figyelmeztetést tett közzé CGI-programjában egy másik CVSS 9.8-as sebezhetőségre vonatkozóan, amely lehetővé teheti a támadók számára, hogy megkerüljék a hitelesítést, és rendszergazdai hozzáféréssel körbefutsák az eszközt.

Kapcsolódó lefedettség