Bug eksekusi jarak jauh Zyxel yang jahat sedang dieksploitasi

Pada akhir minggu lalu, Rapid7 diungkapkan bug jahat di firewall Zyxel yang memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk mengeksekusi kode sebagai pengguna bukan siapa-siapa.

Masalah pemrograman bukanlah sanitasi input, dengan dua bidang diteruskan ke penangan CGI yang dimasukkan ke panggilan sistem. Model yang terpengaruh adalah seri VPN dan ATP, dan USG 100(W), 200, 500, 700, dan Flex 50(W)/USG20(W)-VPN.

Saat itu, Rapid7 mengatakan ada 15,000 model yang terpengaruh di internet yang ditemukan Shodan. Namun, selama akhir pekan, Shadowserver Foundation telah meningkatkan jumlah tersebut menjadi lebih dari 20,800.

“Yang paling populer adalah USG20-VPN (IP 10K) dan USG20W-VPN (IP 5.7K). Sebagian besar model yang terpengaruh CVE-2022-30525 berada di UE – Prancis (4.5K) dan Italia (4.4K),” tulisnya tweeted.

Yayasan juga mengatakan telah melihat eksploitasi dimulai pada 13 Mei, dan mendesak pengguna untuk segera menambal.

Setelah Rapid7 melaporkan kerentanan pada 13 April, pembuat perangkat keras Taiwan itu secara diam-diam merilis tambalan pada 28 April. Rapid7 baru menyadari bahwa rilis itu terjadi pada 9 Mei, dan akhirnya menerbitkan blog dan modul Metasploitnya bersama dengan Pemberitahuan Zyxel, dan tidak senang dengan garis waktu acara.

“Rilis tambalan ini sama saja dengan merilis detail kerentanan, karena penyerang dan peneliti dapat dengan mudah membalikkan tambalan untuk mempelajari detail eksploitasi yang tepat, sementara pembela HAM jarang melakukan ini,” tulis penemu bug Rapid7, Jake Baines.

“Oleh karena itu, kami merilis pengungkapan ini lebih awal untuk membantu para pembela HAM dalam mendeteksi eksploitasi dan untuk membantu mereka memutuskan kapan akan menerapkan perbaikan ini di lingkungan mereka sendiri, sesuai dengan toleransi risiko mereka sendiri. Dengan kata lain, patch kerentanan diam-diam cenderung hanya membantu penyerang aktif, dan membuat pembela HAM tidak mengetahui risiko sebenarnya dari masalah yang baru ditemukan.”

Zyxel sendiri mengklaim ada “miskomunikasi selama proses koordinasi pengungkapan” dan “selalu mengikuti prinsip pengungkapan terkoordinasi”.

Pada akhir Maret, Zyxel menerbitkan penasehat untuk kerentanan CVSS 9.8 lainnya dalam program CGI-nya yang memungkinkan penyerang melewati autentikasi dan menjalankan perangkat dengan akses administratif.

Cakupan Terkait