Eroarea de execuție de la distanță nasty Zyxel este exploatată

La sfârșitul săptămânii trecute, Rapid7 divulgate o eroare urâtă în firewall-urile Zyxel care ar putea permite unui atacator de la distanță neautentificat să execute cod în calitate de utilizator nimeni.

Problema de programare nu a fost dezinfectarea intrării, două câmpuri transmise unui handler CGI fiind introduse în apelurile de sistem. Modelele afectate au fost seriile VPN și ATP și USG 100(W), 200, 500, 700 și Flex 50(W)/USG20(W)-VPN.

La acea vreme, Rapid7 spunea că erau 15,000 de modele afectate pe internet pe care le găsise Shodan. Cu toate acestea, în weekend, Shadowserver Foundation a crescut acest număr la peste 20,800.

„Cele mai populare sunt USG20-VPN (10K IP-uri) și USG20W-VPN (5.7K IP-uri). Majoritatea modelelor CVE-2022-30525 afectate sunt în UE – Franța (4.5K) și Italia (4.4K) tweeter.

Fundația a mai spus că a început exploatarea pe 13 mai și a îndemnat utilizatorii să corecteze imediat.

După ce Rapid7 a raportat vulnerabilitatea pe 13 aprilie, producătorul taiwanez de hardware a lansat patch-uri pe 28 aprilie. Rapid7 și-a dat seama că lansarea a avut loc abia pe 9 mai și, în cele din urmă, și-a publicat blogul și modulul Metasploit alături de Zyxel notifică, și nu a fost mulțumit de cronologia evenimentelor.

„Această lansare a patch-ului echivalează cu lansarea detaliilor despre vulnerabilități, deoarece atacatorii și cercetătorii pot inversa în mod trivial patch-ul pentru a afla detalii precise de exploatare, în timp ce apărătorii rareori se obosesc să facă acest lucru”, a scris Jake Baines, descoperitorul Rapid7 al bug-ului.

„Prin urmare, publicăm această dezvăluire din timp pentru a ajuta apărătorii să detecteze exploatarea și pentru a-i ajuta să decidă când să aplice această remediere în mediul lor, în funcție de propriile toleranțe la risc. Cu alte cuvinte, corecția silențioasă a vulnerabilităților tinde să ajute doar atacatorii activi și îi lasă pe apărători în întuneric cu privire la adevăratul risc al problemelor nou descoperite.”

La rândul său, Zyxel a susținut că a existat o „comunicare greșită în timpul procesului de coordonare a dezvăluirii” și „urmează întotdeauna principiile dezvăluirii coordonate”.

La sfârșitul lunii martie, Zyxel a publicat un avertisment pentru o altă vulnerabilitate CVSS 9.8 în programul său CGI, care ar putea permite unui atacator să ocolească autentificarea și să ruleze în jurul dispozitivului cu acces administrativ.

Acoperire înrudită