บั๊กการสั่งงานจากระยะไกลของ Zyxel ที่น่ารังเกียจกำลังถูกเอาเปรียบ

เมื่อปลายสัปดาห์ที่แล้ว Rapid7 เปิดเผย บั๊กที่น่ารังเกียจในไฟร์วอลล์ของ Zyxel ที่อาจเปิดโอกาสให้ผู้โจมตีจากระยะไกลที่ไม่ผ่านการรับรองความถูกต้องสามารถรันโค้ดได้ในฐานะผู้ใช้ที่ไม่มีตัวตน

ปัญหาการเขียนโปรแกรมไม่ได้ทำให้อินพุตสะอาด โดยฟิลด์สองฟิลด์ที่ส่งผ่านไปยังตัวจัดการ CGI ถูกป้อนเข้าสู่การเรียกระบบ รุ่นที่ได้รับผลกระทบ ได้แก่ ซีรีส์ VPN และ ATP และ USG 100(W), 200, 500, 700 และ Flex 50(W)/USG20(W)-VPN

ในขณะนั้น Rapid7 กล่าวว่ามีโมเดลที่ได้รับผลกระทบ 15,000 รายการบนอินเทอร์เน็ตที่ Shodan พบ อย่างไรก็ตาม ในช่วงสุดสัปดาห์ที่ผ่านมา Shadowserver Foundation ได้เพิ่มจำนวนดังกล่าวเป็นมากกว่า 20,800

“ที่นิยมมากที่สุดคือ USG20-VPN (10K IPs) และ USG20W-VPN (5.7K IPs) โมเดลที่ได้รับผลกระทบ CVE-2022-30525 ส่วนใหญ่อยู่ในสหภาพยุโรป – ฝรั่งเศส (4.5K) และอิตาลี (4.4K)” ทวีต.

มูลนิธิยังกล่าวอีกว่าได้เห็นการแสวงประโยชน์เริ่มขึ้นในวันที่ 13 พฤษภาคม และเรียกร้องให้ผู้ใช้แก้ไขทันที

หลังจาก Rapid7 รายงานช่องโหว่ในวันที่ 13 เมษายน ผู้ผลิตฮาร์ดแวร์ของไต้หวันก็ปล่อยแพตช์แบบเงียบ ๆ เมื่อวันที่ 28 เมษายน Rapid7 เพิ่งตระหนักว่าการเปิดตัวเกิดขึ้นในวันที่ 9 พฤษภาคม และในที่สุดก็เผยแพร่บล็อกและโมดูล Metasploit ควบคู่ไปกับ ประกาศไซเซลและไม่พอใจกับไทม์ไลน์ของเหตุการณ์

Jake Baines ผู้ค้นพบบั๊ก Rapid7 กล่าวว่า “การเผยแพร่แพตช์นี้เทียบเท่ากับการเปิดเผยรายละเอียดของช่องโหว่ เนื่องจากผู้โจมตีและนักวิจัยสามารถย้อนกลับแพตช์ได้เล็กน้อยเพื่อเรียนรู้รายละเอียดการใช้ประโยชน์ที่แม่นยำ ในขณะที่ผู้ป้องกันแทบจะไม่สนใจที่จะทำสิ่งนี้”

“ดังนั้นเราจึงเผยแพร่การเปิดเผยนี้ตั้งแต่เนิ่นๆ เพื่อช่วยเหลือผู้ปกป้องในการตรวจจับการแสวงหาผลประโยชน์ และเพื่อช่วยพวกเขาตัดสินใจว่าเมื่อใดควรใช้การแก้ไขนี้ในสภาพแวดล้อมของตนเอง ตามความเสี่ยงที่ยอมรับได้ กล่าวอีกนัยหนึ่ง การแพตช์ช่องโหว่แบบเงียบมักจะช่วยเฉพาะผู้โจมตีที่ทำงานอยู่ และทำให้ผู้ป้องกันตกอยู่ในความมืดเกี่ยวกับความเสี่ยงที่แท้จริงของปัญหาที่เพิ่งค้นพบ”

ในส่วนของ Zyxel อ้างว่ามี "การสื่อสารที่ผิดพลาดในระหว่างขั้นตอนการประสานงานการเปิดเผยข้อมูล" และ "ปฏิบัติตามหลักการของการเปิดเผยข้อมูลร่วมกันเสมอ"

เมื่อปลายเดือนมีนาคม Zyxel ได้เผยแพร่คำแนะนำสำหรับช่องโหว่ CVSS 9.8 อื่นในโปรแกรม CGI ของตน ซึ่งอาจทำให้ผู้โจมตีสามารถข้ามการตรวจสอบสิทธิ์และเรียกใช้อุปกรณ์ด้วยการเข้าถึงระดับผู้ดูแลระบบ

ความคุ้มครองที่เกี่ยวข้อง