Er wordt misbruik gemaakt van de vervelende Zyxel-bug op afstand

Eind vorige week verscheen Rapid7 bekendgemaakt een vervelende bug in Zyxel-firewalls waardoor een niet-geverifieerde externe aanvaller code kan uitvoeren als de niemand-gebruiker.

Het programmeerprobleem was niet het opschonen van de invoer, waarbij twee velden die werden doorgegeven aan een CGI-handler, werden ingevoerd in systeemoproepen. De getroffen modellen waren de VPN- en ATP-serie, en USG 100(W), 200, 500, 700 en Flex 50(W)/USG20(W)-VPN.

Destijds zei Rapid7 dat Shodan 15,000 getroffen modellen op internet had gevonden. Dit weekend heeft de Shadowserver Foundation dat aantal echter opgevoerd tot ruim 20,800.

“Het populairst zijn USG20-VPN (10K IP’s) en USG20W-VPN (5.7K IP’s). De meeste van de door CVE-2022-30525 getroffen modellen bevinden zich in de EU – Frankrijk (4.5K) en Italië (4.4K). tweeted.

De Foundation zei ook dat de uitbuiting op 13 mei van start was gegaan en drong er bij gebruikers op aan onmiddellijk te patchen.

Nadat Rapid7 de kwetsbaarheid op 13 april had gemeld, bracht de Taiwanese hardwaremaker op 28 april stilletjes patches uit. Rapid7 realiseerde zich pas op 9 mei dat de release had plaatsgevonden en publiceerde uiteindelijk zijn blog en Metasploit-module naast de Zyxel bericht, en was niet blij met de tijdlijn van de gebeurtenissen.

“Deze patch-uitgave komt neer op het vrijgeven van details van de kwetsbaarheden, aangezien aanvallers en onderzoekers de patch triviaal kunnen terugdraaien om nauwkeurige exploitatiedetails te achterhalen, terwijl verdedigers hier zelden de moeite voor nemen”, schreef Rapid7-ontdekker van de bug Jake Baines.

“Daarom geven we deze onthulling vroegtijdig vrij om verdedigers te helpen bij het opsporen van uitbuiting en om hen te helpen beslissen wanneer ze deze oplossing in hun eigen omgevingen moeten toepassen, op basis van hun eigen risicotoleranties. Met andere woorden: stille patching van kwetsbaarheden helpt doorgaans alleen actieve aanvallers en laat verdedigers in het ongewisse over het werkelijke risico van nieuw ontdekte problemen.”

Zyxel van zijn kant beweerde dat er sprake was van “miscommunicatie tijdens het coördinatieproces van openbaarmaking” en dat het bedrijf “altijd de principes van gecoördineerde openbaarmaking volgt”.

Eind maart publiceerde Zyxel een advies voor een nieuwe CVSS 9.8-kwetsbaarheid in zijn CGI-programma, waardoor een aanvaller de authenticatie kon omzeilen en met beheerderstoegang rond het apparaat kon rennen.

Gerelateerde dekking