Kötü Zyxel uzaktan yürütme hatası istismar ediliyor

Geçen haftanın sonunda Rapid7 açıklanması Zyxel güvenlik duvarlarında, kimliği doğrulanmamış uzak bir saldırganın hiç kimse kullanıcısı olarak kod yürütmesine izin verebilecek kötü bir hata.

Programlama sorunu, CGI işleyicisine iletilen iki alanın sistem çağrılarına beslenmesi nedeniyle girdilerin temizlenmesi değildi. Etkilenen modeller VPN ve ATP serileri ile USG 100(W), 200, 500, 700 ve Flex 50(W)/USG20(W)-VPN idi.

O dönemde Rapid7, Shodan'ın internette bulduğu 15,000 etkilenen modelin bulunduğunu söyledi. Ancak hafta sonu Shadowserver Vakfı bu sayıyı 20,800'ün üzerine çıkardı.

“En popülerleri USG20-VPN (10K IP'ler) ve USG20W-VPN'dir (5.7K IP'ler). CVE-2022-30525'ten etkilenen modellerin çoğu AB'de (Fransa (4.5K) ve İtalya'da (4.4K) bulunmaktadır) tweeted.

Vakıf ayrıca 13 Mayıs'ta istismarın başladığını gördüklerini söyledi ve kullanıcıları hemen yama yapmaya çağırdı.

Rapid7'nin 13 Nisan'da güvenlik açığını bildirmesinin ardından Tayvanlı donanım üreticisi, 28 Nisan'da sessizce yamaları yayınladı. Rapid7, sürümün yalnızca 9 Mayıs'ta gerçekleştiğini fark etti ve sonunda blogunu ve Metasploit modülünü bu güncellemeyle birlikte yayınladı. Zyxel bildirimive olayların zaman çizelgesinden memnun değildi.

Rapid7'nin hatayı keşfeden kişisi Jake Baines şöyle yazdı: "Bu yama sürümü, güvenlik açıklarının ayrıntılarını yayınlamakla eşdeğerdir; çünkü saldırganlar ve araştırmacılar, kesin kullanım ayrıntılarını öğrenmek için yamayı önemsiz bir şekilde tersine çevirebilirken, savunucular nadiren bunu yapmaya zahmet eder."

“Bu nedenle, savunucuların kötüye kullanımı tespit etmelerine yardımcı olmak ve kendi risk toleranslarına göre bu düzeltmeyi kendi ortamlarında ne zaman uygulayacaklarına karar vermelerine yardımcı olmak için bu açıklamayı erkenden yayınlıyoruz. Başka bir deyişle, sessiz güvenlik açığı düzeltme eki yalnızca aktif saldırganlara yardımcı oluyor ve savunucuları yeni keşfedilen sorunların gerçek riski konusunda karanlıkta bırakıyor."

Zyxel ise "açıklama koordinasyon sürecinde bir iletişim hatası" olduğunu ve "her zaman koordineli açıklama ilkelerini takip ettiğini" iddia etti.

Mart ayının sonunda Zyxel, CGI programında bir saldırganın kimlik doğrulamasını atlamasına ve yönetici erişimiyle cihazda dolaşmasına olanak verebilecek başka bir CVSS 9.8 güvenlik açığına ilişkin bir öneri yayınladı.

İlgili Kapsama