Эксплуатируется неприятная ошибка удаленного выполнения Zyxel

В конце прошлой недели Rapid7 раскрытый неприятная ошибка в брандмауэрах Zyxel, позволяющая удаленному злоумышленнику, не прошедшему проверку подлинности, выполнять код от имени пользователя Nobody.

Проблема программирования заключалась не в очистке ввода: два поля, переданные обработчику CGI, передавались в системные вызовы. Затронуты модели серий VPN и ATP, а также USG 100(W), 200, 500, 700 и Flex 50(W)/USG20(W)-VPN.

В то время Rapid7 сообщил, что Shodan обнаружил в Интернете 15,000 20,800 затронутых моделей. Однако за выходные Shadowserver Foundation увеличила это число до более чем XNUMX XNUMX.

«Наиболее популярны USG20-VPN (10 20 IP-адресов) и USG5.7W-VPN (2022 30525 IP-адресов). Большинство затронутых CVE-4.5-4.4 моделей находятся в ЕС — Франции (XNUMX тыс.) и Италии (XNUMX тыс.)», — говорится в сообщении. чирикнул.

Фонд также заявил, что 13 мая началась эксплуатация, и призвал пользователей немедленно установить исправление.

После того, как Rapid7 сообщил об уязвимости 13 апреля, тайваньский производитель оборудования молча выпустил исправления 28 апреля. Уведомление Zyxel, и был недоволен хронологией событий.

«Этот выпуск патча равносилен обнародованию подробностей об уязвимостях, поскольку злоумышленники и исследователи могут тривиально отменить патч, чтобы узнать точные детали эксплуатации, в то время как защитники редко удосуживаются сделать это», — написал первооткрыватель Rapid7 Джейк Бейнс.

«Поэтому мы публикуем это раскрытие заблаговременно, чтобы помочь защитникам в обнаружении эксплуатации и помочь им решить, когда применять это исправление в их собственных средах, в соответствии с их собственными допустимыми рисками. Другими словами, скрытое исправление уязвимостей, как правило, помогает только активным злоумышленникам и оставляет защитников в неведении относительно истинного риска вновь обнаруженных проблем».

Со своей стороны, Zyxel заявила, что произошло «непонимание в процессе согласования раскрытия информации» и что компания «всегда следует принципам согласованного раскрытия информации».

В конце марта компания Zyxel опубликовала предупреждение об еще одной уязвимости CVSS 9.8 в своей CGI-программе, которая может позволить злоумышленнику обойти аутентификацию и обойти устройство с правами администратора.

Связанный охват