Izkorišča se grda napaka pri oddaljenem izvajanju Zyxel

Konec prejšnjega tedna je Rapid7 razkriti neprijetna napaka v požarnih zidovih Zyxel, ki bi lahko omogočila nepristnemu oddaljenemu napadalcu, da izvede kodo kot nihče uporabnik.

Težava pri programiranju ni bila čiščenje vnosa, pri čemer sta bili dve polji, posredovani upravljalniku CGI, vneseni v sistemske klice. Prizadeti modeli so bili njegovi seriji VPN in ATP ter USG 100(W), 200, 500, 700 in Flex 50(W)/USG20(W)-VPN.

Takrat je Rapid7 dejal, da je bilo na internetu 15,000 prizadetih modelov, ki jih je našel Shodan. Vendar pa je konec tedna Shadowserver Foundation to številko povečal na več kot 20,800.

»Najbolj priljubljena sta USG20-VPN (10K IP-jev) in USG20W-VPN (5.7K IP-jev). Večina modelov, na katere vpliva CVE-2022-30525, je v EU – Francija (4.5K) in Italija (4.4K). tweeted.

Fundacija je tudi povedala, da je opazila začetek izkoriščanja 13. maja, in uporabnike pozvala, naj nemudoma popravijo popravek.

Potem ko je Rapid7 13. aprila poročal o ranljivosti, je tajvanski proizvajalec strojne opreme 28. aprila tiho izdal popravke. Rapid7 je ugotovil, da se je izdaja zgodila šele 9. maja, in na koncu objavil svoj blog in modul Metasploit poleg Obvestilo Zyxel, in ni bil zadovoljen s časovnico dogodkov.

"Ta izdaja popravka je enaka objavi podrobnosti o ranljivostih, saj lahko napadalci in raziskovalci trivialno obrnejo popravek, da se naučijo natančnih podrobnosti izkoriščanja, medtem ko se zagovorniki le redko trudijo, da bi to storili," je zapisal Rapid7 odkritelj hrošča Jake Baines.

»Zato to razkritje objavljamo predčasno, da bi zagovornikom pomagali pri odkrivanju izkoriščanja in jim pomagali pri odločitvi, kdaj uporabiti ta popravek v svojem okolju, glede na lastna toleranca tveganja. Z drugimi besedami, tiho popravljanje popravkov ranljivosti ponavadi pomaga le aktivnim napadalcem, zagovornike pa pušča v temi glede resničnega tveganja na novo odkritih težav.«

Zyxel pa je trdil, da je prišlo do "napačne komunikacije med postopkom usklajevanja razkritja" in da "vedno sledi načelom usklajenega razkritja".

Konec marca je Zyxel objavil nasvet za drugo ranljivost CVSS 9.8 v svojem programu CGI, ki bi lahko napadalcu omogočila, da obide avtentikacijo in teče po napravi s skrbniškim dostopom.

Povezane pokritosti