Непријатната грешка за далечинско извршување на Zyxel се експлоатира

На крајот на минатата недела, Rapid7 откриени непријатна грешка во заштитните ѕидови на Zyxel што може да дозволи неавтентициран далечински напаѓач да изврши код како никој корисник.

Проблемот со програмирањето не беше санирање на влезот, со две полиња предадени на CGI управувачот кои се внесуваат во системските повици. Моделите кои беа погодени беа неговите серии VPN и ATP и USG 100(W), 200, 500, 700 и Flex 50(W)/USG20(W)-VPN.

Во тоа време, Rapid7 рече дека имало 15,000 погодени модели на интернет кои Шодан ги пронашол. Сепак, во текот на викендот, Shadowserver Foundation го зголеми тој број на над 20,800.

„Најпопуларни се USG20-VPN (10K IP-а) и USG20W-VPN (5.7K IP-адреси). Повеќето од погодените модели CVE-2022-30525 се во ЕУ - Франција (4.5K) и Италија (4.4K),“ Твитер.

Фондацијата, исто така, соопшти дека видела дека експлоатацијата започнала на 13 мај и ги повика корисниците веднаш да закрпат.

Откако Rapid7 ја пријави ранливоста на 13 април, тајванскиот производител на хардвер тивко објави закрпи на 28 април. Rapid7 сфати дека објавувањето се случи на 9 мај, и на крајот ги објави својот блог и модулот Metasploit заедно со Забелешка за Zyxel, и не беше задоволен со временската рамка на настаните.

„Оваа објава на лепенката е еднаква на ослободување детали за ранливостите, бидејќи напаѓачите и истражувачите можат тривијално да ја сменат закрпата за да научат прецизни детали за експлоатација, додека бранителите ретко се мачат да го направат тоа“, напишал Џејк Бејнс, откривачот на грешката Rapid7.

„Затоа, рано го објавуваме ова обелоденување со цел да им помогнеме на бранителите да откријат експлоатација и да им помогнеме да одлучат кога да го применат овој поправка во нивните средини, според нивните сопствени толеранции на ризик. Со други зборови, тивкото поправање на ранливост има тенденција само да им помогне на активните напаѓачи и ги остава бранителите во темнина за вистинскиот ризик од новооткриените проблеми“.

Од своја страна, Zyxel тврдеше дека имало „погрешна комуникација за време на процесот на координација на обелоденувањето“ и дека „секогаш ги следи принципите на координирано обелоденување“.

На крајот на март, Zyxel објави совет за уште една CVSS 9.8 ранливост во својата програма CGI што може да му овозможи на напаѓачот да ја заобиколи автентикацијата и да работи околу уредот со административен пристап.

Поврзана покриеност