Išnaudojama bjauri „Zyxel“ nuotolinio vykdymo klaida

Praėjusios savaitės pabaigoje Rapid7 atskleista bjauri Zyxel ugniasienės klaida, kuri gali leisti neautentifikuotam nuotoliniam užpuolikui vykdyti kodą kaip niekieno naudotojui.

Programavimo problema nebuvo įvesties valymas, nes du laukai, perduoti CGI tvarkytojui, buvo įvesti į sistemos skambučius. Paveikti modeliai buvo VPN ir ATP serijos, USG 100(W), 200, 500, 700 ir Flex 50(W)/USG20(W)-VPN.

Tuo metu Rapid7 teigė, kad internete buvo 15,000 20,800 paveiktų modelių, kuriuos Shodan rado. Tačiau per savaitgalį „Shadowserver Foundation“ padidino šį skaičių iki daugiau nei XNUMX XNUMX.

„Populiariausi yra USG20-VPN (10K IP) ir USG20W-VPN (5.7K IP). Dauguma CVE-2022-30525 paveiktų modelių yra ES – Prancūzijoje (4.5 tūkst.) ir Italijoje (4.4 tūkst.). tweeted.

Fondas taip pat sakė, kad išnaudojimas prasidėjo gegužės 13 d., ir paragino vartotojus nedelsiant pataisyti.

Po to, kai „Rapid7“ pranešė apie pažeidžiamumą balandžio 13 d., Taivano aparatūros gamintojas tyliai išleido pataisas balandžio 28 d. „Rapid7“ suprato, kad išleidimas įvyko tik gegužės 9 d., ir galiausiai paskelbė savo tinklaraštį ir „Metasploit“ modulį kartu su Zyxel pranešimas, ir nebuvo patenkintas įvykių laiko juosta.

„Šis pataisos išleidimas prilygsta pažeidžiamumų detalių išleidimui, nes užpuolikai ir tyrinėtojai gali trivialiai pakeisti pataisą, kad sužinotų tikslias išnaudojimo detales, o gynėjai retai tai daro“, – rašė „Rapid7“ klaidos atradėjas Jake'as Beinesas.

„Todėl šį atskleidimą skelbiame anksti, siekdami padėti gynėjams aptikti išnaudojimą ir padėti jiems nuspręsti, kada taikyti šią pataisą savo aplinkoje, atsižvelgiant į jų pačių rizikos toleranciją. Kitaip tariant, tylus pažeidžiamumo pataisymas paprastai padeda tik aktyviems užpuolikams, o gynėjai nežino apie tikrąją naujai atrastų problemų riziką.

Savo ruožtu „Zyxel“ teigė, kad „atskleidimo koordinavimo proceso metu įvyko nesusikalbėjimas“ ir „visada laikosi suderinto atskleidimo principų“.

Kovo pabaigoje „Zyxel“ paskelbė įspėjimą dėl kito CVSS 9.8 pažeidžiamumo savo CGI programoje, kuris gali leisti užpuolikui apeiti autentifikavimą ir apeiti įrenginį su administratoriaus prieiga.

Susijusi aprėptis