Bûyera darvekirina dûr a Nasty Zyxel tê bikar anîn

Di dawiya hefteya borî de, Rapid7 vekirî ye di dîwarên agir ên Zyxel de xeletiyek xirab a ku dikaribû rê bide êrîşkarek dûr a nerastkirî ku kodê wekî bikarhênerek tune bimeşîne.

Pirsgirêka bernamekirinê ne têketina paqijkirinê bû, digel ku du zevî ji destwerdanek CGI re derbas bûn ku di nav bangên pergalê de têne xwarin. Modelên bandorkirî rêzikên wê yên VPN û ATP, û USG 100 (W), 200, 500, 700, û Flex 50 (W) / USG20 (W) -VPN bûn.

Wê demê, Rapid7 got ku 15,000 modelên bandorbûyî li ser înternetê hene ku Shodan dîtiye. Lêbelê, di dawiya hefteyê de, Weqfa Shadowserver wê hejmarê li ser 20,800 zêde kiriye.

"Yê herî populer USG20-VPN (10K IP) û USG20W-VPN (5.7K IP) ne. Piraniya modelên bandorbûyî yên CVE-2022-30525 li Yekîtiya Ewropî ne - Fransa (4.5K) û Italytalya (4.4K), "ew tweeted.

Weqfê her weha got ku wê dîtiye ku îstismar di 13ê Gulanê de dest pê kiriye, û ji bikarhêneran xwest ku tavilê bişopînin.

Piştî ku Rapid7 di 13-ê Avrêlê de qelsiyê ragihand, çêkera hardware ya Taywanî di 28-ê Avrêlê de bi bêdengî patches serbest berdan. Rapid7 tenê fêhm kir ku berdan di 9ê Gulanê de qewimiye, û di dawiyê de bloga xwe û modula Metasploit ligel Zyxel notice, û ji dema bûyeran ne kêfxweş bû.

"Ev serbestberdana patchê tê wateya berdana hûrguliyên qelsiyan, ji ber ku êrîşkar û lêkolîner dikarin bi sivikî patchê berevajî bikin da ku hûrguliyên îstîsmarê yên rastîn fêr bibin, dema ku parêzvan kêm caran aciz dibin ku vê yekê bikin," keşfê Rapid7 ya xelet Jake Baines nivîsand.

"Ji ber vê yekê, em vê eşkerekirinê zû radigihînin da ku ji parêzvanan re bibin alîkar di tespîtkirina îstismarkirinê de û ji wan re bibin alîkar ku biryar bidin kengê vê rastkirinê li hawîrdora xwe bicîh bikin, li gorî toleransên xetereya xwe. Bi gotinek din, guheztina bêhêziya bêdeng tenê tenê alîkariya êrişkerên çalak dike, û parêzvanan di tariyê de li ser xetereya rastîn a pirsgirêkên ku nû hatine vedîtin dihêle.

Ji aliyê xwe ve, Zyxel îdia kir ku di pêvajoya hevrêziya eşkerekirinê de "têkiliyek xelet" heye û ew "her gav prensîbên eşkerekirina hevrêziyê dişopîne".

Di dawiya Adarê de, Zyxel di bernameya xwe ya CGI de şîretek ji bo lawaziyek din a CVSS 9.8 weşand ku dikaribû bihêle êrîşkar ji rastrastkirinê derbas bibe û li dora cîhazê bi gihîştina îdarî bixebite.

Gihîştina têkildar



Kanî