Zneužíva sa nepríjemná chyba vzdialeného spúšťania Zyxel

Koncom minulého týždňa Rapid7 zverejnené nepríjemná chyba vo firewalloch Zyxel, ktorá by mohla umožniť neoverenému vzdialenému útočníkovi spustiť kód ako nikto.

Problémom s programovaním nebolo dezinfikovanie vstupu, pričom dve polia odovzdané obslužnému programu CGI boli vložené do systémových volaní. Ovplyvnenými modelmi boli jeho série VPN a ATP a USG 100(W), 200, 500, 700 a Flex 50(W)/USG20(W)-VPN.

V tom čase Rapid7 uviedol, že na internete je 15,000 20,800 postihnutých modelov, ktoré Shodan našiel. Cez víkend však nadácia Shadowserver Foundation zvýšila toto číslo na viac ako XNUMX XNUMX.

„Najpopulárnejšie sú USG20-VPN (10 20 IP) a USG5.7W-VPN (2022 30525 IP). Väčšina modelov CVE-4.5-4.4, ktorých sa to týka, je v EÚ – vo Francúzsku (XNUMX tisíc) a Taliansku (XNUMX tisíc),“ tweet.

Nadácia tiež uviedla, že 13. mája spustila vykorisťovanie a vyzvala používateľov, aby okamžite vykonali opravu.

Po tom, čo Rapid7 13. apríla ohlásil zraniteľnosť, taiwanský výrobca hardvéru v tichosti vydal záplaty 28. apríla. Rapid7 si uvedomil, že k vydaniu došlo až 9. mája a nakoniec zverejnil svoj blog a modul Metasploit spolu Upozornenie Zyxela nebol spokojný s časovou osou udalostí.

"Toto vydanie opravy sa rovná zverejneniu podrobností o zraniteľnostiach, pretože útočníci a výskumníci môžu triviálne zvrátiť opravu, aby sa dozvedeli presné podrobnosti o zneužití, zatiaľ čo obrancovia sa s tým len zriedka obťažujú," napísal objaviteľ chyby Rapid7 Jake Baines.

„Preto zverejňujeme toto zverejnenie včas, aby sme pomohli obrancom odhaliť zneužívanie a pomohli im rozhodnúť sa, kedy použiť túto opravu v ich vlastnom prostredí, podľa ich vlastných tolerancií voči riziku. Inými slovami, tichá oprava zraniteľnosti má tendenciu pomáhať len aktívnym útočníkom a necháva obrancov v nevedomosti o skutočnom riziku novoobjavených problémov.“

Zyxel tvrdil, že došlo k „nesprávnej komunikácii počas procesu koordinácie zverejnenia“ a „vždy sa riadi zásadami koordinovaného zverejnenia“.

Koncom marca spoločnosť Zyxel zverejnila upozornenie na ďalšiu zraniteľnosť CVSS 9.8 vo svojom programe CGI, ktorá by mohla útočníkovi umožniť obísť autentifikáciu a behať okolo zariadenia s administratívnym prístupom.

Súvisiace pokrytie