No final da semana passada, Rapid7 divulgados um bug desagradável nos firewalls Zyxel que poderia permitir que um invasor remoto não autenticado executasse código como usuário ninguém.
O problema de programação não era a limpeza da entrada, com dois campos passados para um manipulador CGI sendo alimentados em chamadas do sistema. Os modelos impactados foram as séries VPN e ATP e USG 100(W), 200, 500, 700 e Flex 50(W)/USG20(W)-VPN.
Na época, Rapid7 disse que havia 15,000 modelos afetados na internet que Shodan havia encontrado. No entanto, no fim de semana, a Shadowserver Foundation aumentou esse número para mais de 20,800.
“Os mais populares são USG20-VPN (10 mil IPs) e USG20W-VPN (5.7 mil IPs). A maioria dos modelos afetados CVE-2022-30525 estão na UE – França (4.5K) e Itália (4.4K)”, disse twittou.
A Fundação também disse que viu a exploração começar em 13 de maio e pediu aos usuários que corrigissem imediatamente.
Depois que o Rapid7 relatou a vulnerabilidade em 13 de abril, o fabricante de hardware taiwanês lançou patches silenciosamente em 28 de abril. O Rapid7 só percebeu que o lançamento havia acontecido em 9 de maio e, eventualmente, publicou seu blog e módulo Metasploit junto com o Aviso Zyxel, e não ficou satisfeito com o cronograma dos eventos.
“Este lançamento de patch equivale a liberar detalhes das vulnerabilidades, uma vez que invasores e pesquisadores podem reverter trivialmente o patch para aprender detalhes precisos de exploração, enquanto os defensores raramente se preocupam em fazer isso”, escreveu o descobridor do bug do Rapid7, Jake Baines.
“Portanto, estamos divulgando esta divulgação antecipadamente para ajudar os defensores na detecção da exploração e para ajudá-los a decidir quando aplicar esta correção em seus próprios ambientes, de acordo com suas próprias tolerâncias ao risco. Em outras palavras, a correção silenciosa de vulnerabilidades tende a ajudar apenas os invasores ativos e deixa os defensores no escuro sobre o verdadeiro risco de problemas recém-descobertos.”
Por sua vez, a Zyxel alegou que houve uma “falha de comunicação durante o processo de coordenação da divulgação” e que “segue sempre os princípios da divulgação coordenada”.
No final de março, a Zyxel publicou um comunicado sobre outra vulnerabilidade do CVSS 9.8 em seu programa CGI que poderia permitir que um invasor contornasse a autenticação e contornasse o dispositivo com acesso administrativo.