Pinagsasamantalahan ang masasamang Zyxel remote execution bug

Sa pagtatapos ng nakaraang linggo, ang Rapid7 isiwalat isang masamang bug sa mga firewall ng Zyxel na maaaring magbigay-daan sa isang hindi napatotohanang malayuang umaatake na magsagawa ng code bilang walang sinumang gumagamit.

Ang isyu sa programming ay hindi sanitizing input, na may dalawang field na ipinasa sa isang CGI handler na ipinapasok sa mga system call. Ang mga naapektuhang modelo ay ang VPN at ATP series nito, at USG 100(W), 200, 500, 700, at Flex 50(W)/USG20(W)-VPN.

Noong panahong iyon, sinabi ng Rapid7 na mayroong 15,000 apektadong modelo sa internet na natagpuan ni Shodan. Gayunpaman, sa katapusan ng linggo, pinalaki ng Shadowserver Foundation ang bilang na iyon sa mahigit 20,800.

Ang pinakasikat ay ang USG20-VPN (10K IPs) at USG20W-VPN (5.7K IPs). Karamihan sa mga apektadong modelo ng CVE-2022-30525 ay nasa EU – France (4.5K) at Italy (4.4K),” ito tweeted.

Sinabi rin ng Foundation na nakita nitong nagsimula ang pagsasamantala noong Mayo 13, at hinimok ang mga user na mag-patch kaagad.

Matapos iulat ng Rapid7 ang kahinaan noong Abril 13, tahimik na naglabas ng mga patch ang Taiwanese hardware maker noong Abril 28. Napagtanto lang ng Rapid7 na nangyari ang paglabas noong Mayo 9, at kalaunan ay nai-publish ang blog nito at ang module ng Metasploit sa tabi ng Papansin ni Zyxel, at hindi masaya sa timeline ng mga kaganapan.

"Ang pagpapalabas ng patch na ito ay katumbas ng pagpapalabas ng mga detalye ng mga kahinaan, dahil ang mga umaatake at mananaliksik ay maaaring baligtarin ang patch upang matutunan ang mga tiyak na detalye ng pagsasamantala, habang ang mga tagapagtanggol ay bihirang mag-abala na gawin ito," isinulat ng Rapid7 na nakatuklas ng bug na si Jake Baines.

“Samakatuwid, maaga naming inilalabas ang pagsisiwalat na ito upang matulungan ang mga tagapagtanggol sa pag-detect ng pagsasamantala at upang matulungan silang magpasya kung kailan ilalapat ang pagsasaayos na ito sa kanilang sariling mga kapaligiran, ayon sa kanilang sariling mga pagpapaubaya sa panganib. Sa madaling salita, ang silent vulnerability patching ay may posibilidad na tumulong lamang sa mga aktibong umaatake, at iniiwan ang mga tagapagtanggol sa dilim tungkol sa tunay na panganib ng mga bagong natuklasang isyu."

Sa bahagi nito, sinabi ni Zyxel na mayroong "miscommunication sa panahon ng proseso ng koordinasyon ng pagsisiwalat" at ito ay "palaging sumusunod sa mga prinsipyo ng coordinated disclosure".

Sa katapusan ng Marso, nag-publish si Zyxel ng isang advisory para sa isa pang kahinaan ng CVSS 9.8 sa CGI program nito na maaaring magpapahintulot sa isang attacker na i-bypass ang authentication at tumakbo sa paligid ng device na may administratibong access.

Kaugnay na Saklaw