불쾌한 Zyxel 원격 실행 버그가 악용되고 있습니다.

지난 주말, Rapid7 공개 인증되지 않은 원격 공격자가 nobody 사용자로 코드를 실행할 수 있는 Zyxel 방화벽의 고약한 버그입니다.

프로그래밍 문제는 시스템 호출에 입력되는 CGI 처리기로 전달되는 두 개의 필드로 입력을 삭제하지 않는 것입니다. 영향을 받은 모델은 VPN 및 ATP 시리즈와 USG 100(W), 200, 500, 700 및 Flex 50(W)/USG20(W)-VPN입니다.

당시 Rapid7은 Shodan이 발견한 영향을 받는 모델이 인터넷에 15,000개 있다고 말했습니다. 그러나 주말 동안 Shadowserver Foundation은 그 수를 20,800 이상으로 늘렸습니다.

“가장 인기 있는 것은 USG20-VPN(10K IP) 및 USG20W-VPN(5.7K IP)입니다. CVE-2022-30525에 영향을 받는 대부분의 모델은 EU – 프랑스(4.5K) 및 이탈리아(4.4K)에 있습니다.” 트위트 된.

재단은 또한 13월 XNUMX일에 악용이 시작된 것을 보았고 사용자들에게 즉시 패치할 것을 촉구했습니다.

Rapid7은 13월 28일에 취약점을 보고한 후 7월 9일에 조용히 패치를 발표했습니다. 자이셀 공지, 이벤트 일정에 만족하지 않았습니다.

Rapid7에서 버그를 발견한 Jake Baines는 "이번 패치 릴리스는 취약점의 세부 정보를 공개하는 것과 같습니다. 공격자와 연구원은 정확한 악용 세부 정보를 배우기 위해 패치를 간단하게 되돌릴 수 있지만 방어자는 거의 이것을 수행하지 않기 때문입니다."라고 버그의 RapidXNUMX 발견자인 Jake Baines는 썼습니다.

“따라서 우리는 방어자가 익스플로잇을 감지하고 자신의 위험 허용 범위에 따라 자신의 환경에 이 수정 사항을 적용할 시기를 결정하는 데 도움을 주기 위해 이 공개를 조기에 공개합니다. 즉, 자동 취약성 패치는 능동적인 공격자에게만 도움이 되는 경향이 있으며 방어자는 새로 발견된 문제의 진정한 위험에 대해 알지 못합니다.”

Zyxel은 "공개 조정 과정에서 잘못된 의사소통"이 있었으며 "항상 조정된 공개 원칙을 따릅니다"라고 주장했습니다.

9.8월 말, Zyxel은 CGI 프로그램의 또 다른 CVSS XNUMX 취약점에 대한 권고를 게시하여 공격자가 인증을 우회하고 관리 액세스 권한으로 장치를 돌아다닐 수 있도록 했습니다.

관련 보도