Використовується неприємна помилка віддаленого виконання Zyxel

Наприкінці минулого тижня Rapid7 розкрито неприємна помилка в брандмауерах Zyxel, яка могла дозволити неавтентифікованому віддаленому зловмиснику виконувати код як ніхто.

Проблема програмування полягала в тому, що вхідні дані не очищалися, оскільки два поля, передані обробнику CGI, подавались у системні виклики. Це стосується моделей серії VPN і ATP, а також USG 100(W), 200, 500, 700 і Flex 50(W)/USG20(W)-VPN.

У той час Rapid7 заявив, що в Інтернеті було 15,000 20,800 уражених моделей, які Шодан знайшов. Однак на вихідних Shadowserver Foundation збільшив це число до понад XNUMX XNUMX.

«Найпопулярнішими є USG20-VPN (10 тис. IP-адрес) і USG20W-VPN (5.7 тис. IP-адрес). Більшість моделей, уражених CVE-2022-30525, знаходяться в ЄС – у Франції (4.5 тис.) та Італії (4.4 тис.). твір.

У Фонді також заявили, що бачили, що 13 травня почалася експлуатація, і закликали користувачів негайно встановлювати виправлення.

Після того як Rapid7 повідомив про вразливість 13 квітня, тайванський виробник апаратного забезпечення мовчки випустив виправлення 28 квітня. Rapid7 зрозумів, що випуск стався лише 9 травня, і зрештою опублікував свій блог і модуль Metasploit разом із Повідомлення Zyxel, і не був задоволений розкладом подій.

«Цей випуск виправлення рівнозначний розкриттю подробиць уразливостей, оскільки зловмисники та дослідники можуть тривіально змінити виправлення, щоб дізнатися точні деталі експлуатації, тоді як захисники рідко намагаються це зробити», — написав Джейк Бейнс, який виявив помилку Rapid7.

«Тому ми завчасно публікуємо це повідомлення, щоб допомогти захисникам виявити експлуатацію та допомогти їм вирішити, коли застосовувати це виправлення у власному середовищі відповідно до їхніх власних допусків до ризику. Іншими словами, тихе виправлення вразливостей допомагає лише активним зловмисникам і залишає захисників у темряві щодо справжнього ризику нововиявлених проблем».

Зі свого боку, Zyxel стверджував, що під час процесу координації розкриття виникла «непорозуміння» і «завжди дотримується принципів скоординованого розкриття».

Наприкінці березня Zyxel опублікував пораду щодо ще однієї вразливості CVSS 9.8 у своїй програмі CGI, яка може дозволити зловмиснику обійти автентифікацію та працювати на пристрої з адміністративним доступом.

Пов'язане покриття