Tiek izmantota nepatīkama Zyxel attālās izpildes kļūda

Pagājušās nedēļas beigās Rapid7 izpaust šķebinoša kļūda Zyxel ugunsmūros, kas var ļaut neautentificētam attālinātam uzbrucējam izpildīt kodu kā nevienam lietotājam.

Programmēšanas problēma nebija ievades dezinficēšana, jo sistēmas izsaukumos tika ievadīti divi lauki, kas tika nodoti CGI apstrādātājam. Ietekmētie modeļi bija tā VPN un ATP sērijas, kā arī USG 100(W), 200, 500, 700 un Flex 50(W)/USG20(W)-VPN.

Toreiz Rapid7 teica, ka internetā bija 15,000 20,800 ietekmētu modeļu, kurus Shodan bija atradis. Tomēr nedēļas nogalē Shadowserver Foundation ir palielinājis šo skaitu līdz vairāk nekā XNUMX XNUMX.

“Populārākās ir USG20-VPN (10 20 IP) un USG5.7W-VPN (2022 K IP). Lielākā daļa CVE-30525-4.5 ietekmēto modeļu ir ES — Francijā (4.4 K) un Itālijā (XNUMX K) tweeted.

Fonds arī paziņoja, ka ir pieredzējis ekspluatācijas sākšanos 13. maijā, un mudināja lietotājus nekavējoties veikt ielāpu.

Pēc tam, kad Rapid7 13. aprīlī ziņoja par ievainojamību, Taivānas aparatūras ražotājs 28. aprīlī klusībā izlaida ielāpus. Rapid7 saprata, ka izlaišana notika tikai 9. maijā, un galu galā publicēja savu emuāru un Metasploit moduli kopā ar Zyxel paziņojums, un nebija apmierināts ar notikumu laika skalu.

"Šī ielāpa izlaišana ir līdzvērtīga ievainojamību detaļu izlaišanai, jo uzbrucēji un pētnieki var triviāli mainīt ielāpu, lai uzzinātu precīzu ekspluatācijas informāciju, savukārt aizstāvji reti uztraucas to darīt," rakstīja Rapid7 kļūdas atklājējs Džeiks Beinss.

“Tāpēc mēs publicējam šo informāciju agri, lai palīdzētu aizstāvjiem atklāt ekspluatāciju un palīdzētu viņiem izlemt, kad piemērot šo labojumu savā vidē atbilstoši viņu riska pielaidēm. Citiem vārdiem sakot, klusa ievainojamības ielāgošana parasti palīdz tikai aktīviem uzbrucējiem un atstāj aizstāvjus neziņā par patieso jaunatklāto problēmu risku.

Savukārt Zyxel apgalvoja, ka informācijas izpaušanas koordinēšanas procesā ir notikušas nepareizas komunikācijas, un tas "vienmēr ievēro koordinētas izpaušanas principus".

Marta beigās Zyxel publicēja ieteikumu par citu CVSS 9.8 ievainojamību savā CGI programmā, kas varētu ļaut uzbrucējam apiet autentifikāciju un palaist apkārt ierīcei ar administratīvo piekļuvi.

Saistītais pārklājums