Zyxel の厄介なリモート実行バグが悪用されています

先週末、Rapid7 開示 Zyxel ファイアウォールの厄介なバグで、認証されていないリモートの攻撃者が nobody ユーザーとしてコードを実行できる可能性があります。

プログラミングの問題は入力のサニタイズではなく、CGI ハンドラに渡された 100 つのフィールドがシステム コールに供給されていました。 影響を受けたモデルは、その VPN および ATP シリーズ、および USG 200(W)、500、700、50、および Flex 20(W)/USGXNUMX(W)-VPN でした。

当時、Rapid7 は、Shodan が見つけたインターネット上に 15,000 の影響を受けたモデルがあったと述べました。 しかし、週末にかけて、Shadowserver Foundation はその数を 20,800 を超えました。

「最も人気があるのは USG20-VPN (10K IP) と USG20W-VPN (5.7K IP) です。 CVE-2022-30525 の影響を受けるモデルのほとんどは EU にあり、フランス (4.5K) とイタリア (4.4K) です。 ツイート.

財団はまた、悪用が 13 月 XNUMX 日に始まったことを確認したと述べ、ユーザーに直ちにパッチを適用するよう促しました。

Rapid7 が 13 月 28 日に脆弱性を報告した後、台湾のハードウェア メーカーは 7 月 9 日に密かにパッチをリリースしました。 ジクセル通知、イベントのタイムラインに満足していませんでした。

「このパッチ リリースは、脆弱性の詳細を公開することと同じです。なぜなら、攻撃者と研究者はパッチを簡単に元に戻して正確な悪用の詳細を知ることができますが、防御側はめったにこれを行うことはありません」と Rapid7 のバグ発見者 Jake Baines は書いています。

「したがって、防御者がエクスプロイトを検出し、リスク許容度に応じて、この修正を自分の環境にいつ適用するかを決定できるようにするために、この開示を早期にリリースします。 言い換えれば、サイレント脆弱性パッチはアクティブな攻撃者のみを助ける傾向があり、防御側は新たに発見された問題の真のリスクについて知らされていません。」

Zyxel は、「情報開示の調整プロセス中に誤解が生じた」と主張し、「常に調整された情報開示の原則に従っている」と主張しました。

9.8 月末、Zyxel は CGI プログラムの別の CVSS XNUMX 脆弱性に関するアドバイザリを公開しました。この脆弱性により、攻撃者は認証をバイパスし、管理者アクセスでデバイスを回避できます。

関連カバレッジ