Wykorzystywany jest paskudny błąd zdalnego wykonywania Zyxela

Pod koniec zeszłego tygodnia Rapid7 ujawnione paskudny błąd w zaporach ogniowych Zyxel, który może umożliwić nieuwierzytelnionemu zdalnemu napastnikowi wykonanie kodu jako użytkownik nikt.

Problemem programistycznym nie było oczyszczanie danych wejściowych, a dwa pola przekazywane do obsługi CGI były wprowadzane do wywołań systemowych. Wpłynęły modele z serii VPN i ATP oraz USG 100(W), 200, 500, 700 i Flex 50(W)/USG20(W)-VPN.

W tym czasie firma Rapid7 poinformowała, że ​​w Internecie było 15,000 20,800 dotkniętych problemem modeli, które Shodan znalazł. Jednak w ciągu weekendu Fundacja Shadowserver zwiększyła tę liczbę do ponad XNUMX XNUMX.

„Najbardziej popularne to USG20-VPN (10 tys. adresów IP) i USG20W-VPN (5.7 tys. adresów IP). Większość modeli CVE-2022-30525, których dotyczy problem, znajduje się w UE – we Francji (4.5 tys.) i we Włoszech (4.4 tys.)”. podsumowałem.

Fundacja powiedziała również, że 13 maja rozpoczęła się eksploatacja i wezwała użytkowników do natychmiastowej aktualizacji.

Po tym, jak Rapid7 zgłosiło usterkę 13 kwietnia, tajwański producent sprzętu po cichu udostępnił łatki 28 kwietnia. Rapid7 zdał sobie sprawę, że wydanie miało miejsce 9 maja i ostatecznie opublikował swój blog i moduł Metasploit razem z Zawiadomienie Zyxeli nie był zadowolony z harmonogramu wydarzeń.

„To wydanie poprawki jest równoznaczne z ujawnieniem szczegółów dotyczących luk w zabezpieczeniach, ponieważ napastnicy i badacze mogą w trywialny sposób odwrócić poprawkę, aby poznać dokładne szczegóły eksploatacji, podczas gdy obrońcy rzadko się tym zajmują” – napisał odkrywca błędu Rapid7 Jake Baines.

„Dlatego publikujemy to ujawnienie wcześnie, aby pomóc obrońcom w wykrywaniu nadużyć i pomóc im zdecydować, kiedy zastosować tę poprawkę we własnym środowisku, zgodnie z ich własnymi tolerancjami ryzyka. Innymi słowy, ciche łatanie słabych punktów zwykle pomaga tylko aktywnym atakującym i pozostawia obrońcom w niewiedzy o prawdziwym ryzyku nowo wykrytych problemów”.

Ze swojej strony Zyxel twierdził, że doszło do „nieporozumienia w procesie koordynacji ujawniania informacji” i „zawsze przestrzega zasad skoordynowanego ujawniania informacji”.

Pod koniec marca firma Zyxel opublikowała zalecenie dotyczące kolejnej luki w zabezpieczeniach CVSS 9.8 w swoim programie CGI, która może umożliwić atakującemu ominięcie uwierzytelniania i obejście urządzenia z dostępem administracyjnym.

Pokrewne pokrycia