Bug desagradável de execução remota do Zyxel está sendo explorado

No final da semana passada, Rapid7 divulgados um bug desagradável nos firewalls Zyxel que poderia permitir que um invasor remoto não autenticado executasse código como usuário ninguém.

O problema de programação não era a limpeza da entrada, com dois campos passados ​​para um manipulador CGI sendo alimentados em chamadas do sistema. Os modelos impactados foram as séries VPN e ATP e USG 100(W), 200, 500, 700 e Flex 50(W)/USG20(W)-VPN.

Na época, Rapid7 disse que havia 15,000 modelos afetados na internet que Shodan havia encontrado. No entanto, no fim de semana, a Shadowserver Foundation aumentou esse número para mais de 20,800.

“Os mais populares são USG20-VPN (10 mil IPs) e USG20W-VPN (5.7 mil IPs). A maioria dos modelos afetados CVE-2022-30525 estão na UE – França (4.5K) e Itália (4.4K)”, disse twittou.

A Fundação também disse que viu a exploração começar em 13 de maio e pediu aos usuários que corrigissem imediatamente.

Depois que o Rapid7 relatou a vulnerabilidade em 13 de abril, o fabricante de hardware taiwanês lançou patches silenciosamente em 28 de abril. O Rapid7 só percebeu que o lançamento havia acontecido em 9 de maio e, eventualmente, publicou seu blog e módulo Metasploit junto com o Aviso Zyxel, e não ficou satisfeito com o cronograma dos eventos.

“Este lançamento de patch equivale a liberar detalhes das vulnerabilidades, uma vez que invasores e pesquisadores podem reverter trivialmente o patch para aprender detalhes precisos de exploração, enquanto os defensores raramente se preocupam em fazer isso”, escreveu o descobridor do bug do Rapid7, Jake Baines.

“Portanto, estamos divulgando esta divulgação antecipadamente para ajudar os defensores na detecção da exploração e para ajudá-los a decidir quando aplicar esta correção em seus próprios ambientes, de acordo com suas próprias tolerâncias ao risco. Em outras palavras, a correção silenciosa de vulnerabilidades tende a ajudar apenas os invasores ativos e deixa os defensores no escuro sobre o verdadeiro risco de problemas recém-descobertos.”

Por sua vez, a Zyxel alegou que houve uma “falha de comunicação durante o processo de coordenação da divulgação” e que “segue sempre os princípios da divulgação coordenada”.

No final de março, a Zyxel publicou um comunicado sobre outra vulnerabilidade do CVSS 9.8 em seu programa CGI que poderia permitir que um invasor contornasse a autenticação e contornasse o dispositivo com acesso administrativo.

Cobertura Relacionada