Viene sfruttato il brutto bug di esecuzione remota di Zyxel

Alla fine della scorsa settimana, Rapid7 comunicati un brutto bug nei firewall Zyxel che potrebbe consentire a un utente malintenzionato remoto non autenticato di eseguire codice come utente nessuno.

Il problema della programmazione non era la pulizia dell'input, con due campi passati a un gestore CGI che venivano inseriti nelle chiamate di sistema. I modelli interessati erano le serie VPN e ATP e USG 100(W), 200, 500, 700 e Flex 50(W)/USG20(W)-VPN.

All'epoca, Rapid7 disse che su Internet c'erano 15,000 modelli interessati che Shodan aveva trovato. Tuttavia, durante il fine settimana, la Shadowserver Foundation ha aumentato quel numero a oltre 20,800.

“I più popolari sono USG20-VPN (10 IP) e USG20W-VPN (5.7 IP). La maggior parte dei modelli interessati da CVE-2022-30525 si trovano nell’UE – Francia (4.5K) e Italia (4.4K)”, tweeted.

La Fondazione ha inoltre affermato di aver visto l'inizio dello sfruttamento il 13 maggio e ha invitato gli utenti ad applicare immediatamente la patch.

Dopo che Rapid7 ha segnalato la vulnerabilità il 13 aprile, il produttore di hardware taiwanese ha rilasciato silenziosamente le patch il 28 aprile. Rapid7 si è accorta che il rilascio era avvenuto solo il 9 maggio e alla fine ha pubblicato il suo blog e il modulo Metasploit insieme al Avviso Zyxel, e non era soddisfatto della sequenza temporale degli eventi.

"Il rilascio di questa patch equivale a rilasciare i dettagli delle vulnerabilità, dal momento che aggressori e ricercatori possono banalmente annullare la patch per apprendere dettagli precisi sullo sfruttamento, mentre i difensori raramente si preoccupano di farlo", ha scritto Jake Baines, scopritore del bug di Rapid7.

“Pertanto, stiamo rilasciando questa divulgazione in anticipo per assistere i difensori nell'individuare lo sfruttamento e per aiutarli a decidere quando applicare questa correzione nei propri ambienti, secondo la propria tolleranza al rischio. In altre parole, le patch silenziose sulle vulnerabilità tendono ad aiutare solo gli aggressori attivi e lasciano i difensori all’oscuro del vero rischio di problemi appena scoperti”.

Da parte sua, Zyxel ha affermato che si è verificato un “errore di comunicazione durante il processo di coordinamento della divulgazione” e “segue sempre i principi della divulgazione coordinata”.

Alla fine di marzo, Zyxel ha pubblicato un avviso per un'altra vulnerabilità CVSS 9.8 nel suo programma CGI che potrebbe consentire a un utente malintenzionato di aggirare l'autenticazione e aggirare il dispositivo con accesso amministrativo.

Copertura correlata