מנוצל באג ביצוע מרחוק של Zyxel

בסוף השבוע שעבר, Rapid7 ייחשף באג מגעיל בחומות האש של Zyxel שעלול לאפשר לתוקף מרוחק לא מאומת להפעיל קוד כמשתמש של אף אחד.

בעיית התכנות לא הייתה חיטוי קלט, כאשר שני שדות שהועברו למטפל ב-CGI הועברו לשיחות מערכת. הדגמים שהושפעו היו סדרת ה-VPN וה-ATP, ו-USG 100(W), 200, 500, 700 ו-Flex 50(W)/USG20(W)-VPN.

באותה עת, Rapid7 אמר שיש 15,000 דגמים מושפעים באינטרנט ששודאן מצא. עם זאת, במהלך סוף השבוע, Shadowserver Foundation העלתה את המספר הזה ליותר מ-20,800.

"הפופולריים ביותר הם USG20-VPN (10K IPs) ו-USG20W-VPN (5.7K IPs). רוב הדגמים המושפעים של CVE-2022-30525 נמצאים באיחוד האירופי - צרפת (4.5K) ואיטליה (4.4K). צייץ.

הקרן גם אמרה שהיא ראתה את הניצול מתחיל ב-13 במאי, והפצירה במשתמשים לתקן מיד.

לאחר ש-Rapid7 דיווחה על הפגיעות ב-13 באפריל, יצרנית החומרה הטיוואנית פרסמה תיקונים בשקט ב-28 באפריל. Rapid7 הבינה שהשחרור התרחש רק ב-9 במאי, ובסופו של דבר פרסמה את הבלוג ואת מודול Metasploit שלה לצד ה-RapidXNUMX. שים לב Zyxel, ולא היה מרוצה מציר הזמן של האירועים.

"שחרור התיקון הזה הוא בגדר שחרור פרטים של הפגיעויות, מכיוון שתוקפים וחוקרים יכולים להפוך את התיקון באופן טריוויאלי כדי ללמוד פרטי ניצול מדויקים, בעוד שמגנים כמעט ולא טורחים לעשות זאת", כתב מגלה Rapid7 של הבאג ג'ייק ביינס.

"לכן, אנו משחררים את החשיפה הזו מוקדם כדי לסייע למגינים בזיהוי ניצול ולעזור להם להחליט מתי ליישם את התיקון הזה בסביבותיהם שלהם, בהתאם לסובלנות הסיכון שלהם. במילים אחרות, תיקון פגיעות שקט נוטה לעזור רק לתוקפים פעילים, ומשאיר את המגינים בחושך לגבי הסיכון האמיתי של בעיות שהתגלו לאחרונה."

Zyxel מצידה טענה כי הייתה "תקשורת שגויה במהלך תהליך תיאום החשיפה" והיא "פועלת תמיד לפי עקרונות הגילוי המתואם".

בסוף מרץ, Zyxel פרסמה ייעוץ לגבי פגיעות נוספת של CVSS 9.8 בתוכנית ה-CGI שלה שיכולה לאפשר לתוקף לעקוף את האימות ולהתרוצץ במכשיר עם גישה מנהלתית.

כיסוי קשור