令人讨厌的 Zyxel 远程执行漏洞正在被利用

上周末，Rapid7 披露 Zyxel 防火墙中的一个严重错误可能允许未经身份验证的远程攻击者以无人用户身份执行代码。

编程问题不是清理输入，传递给 CGI 处理程序的两个字段被输入到系统调用中。受影响的型号包括 VPN 和 ATP 系列，以及 USG 100(W)、200、500、700 和 Flex 50(W)/USG20(W)-VPN。

当时，Rapid7 表示 Shodan 在互联网上发现了 15,000 个受影响的型号。然而，周末，Shadowserver 基金会已将这一数字增加到 20,800 多个。

“最受欢迎的是 USG20-VPN（10K IP）和 USG20W-VPN（5.7K IP）。大多数受 CVE-2022-30525 影响的型号位于欧盟 – 法国 (4.5K) 和意大利 (4.4K)”。 啾啾.

该基金会还表示，它已于 13 月 XNUMX 日发现了漏洞利用，并敦促用户立即修补。

Rapid7 于 13 月 28 日报告该漏洞后，这家台湾硬件制造商于 7 月 9 日悄悄发布了补丁。RapidXNUMX 直到 XNUMX 月 XNUMX 日才意识到该漏洞已发布，并最终在发布博客的同时发布了 Metasploit 模块。 合勤通知，并对事件的时间表不满意。

Rapid7 漏洞发现者杰克·贝恩斯 (Jake Baines) 写道：“此补丁的发布相当于发布了漏洞的详细信息，因为攻击者和研究人员可以轻松地逆转补丁以了解精确的利用细节，而防御者很少费心这样做。”

“因此，我们提前发布此披露是为了帮助防御者检测漏洞，并帮助他们根据自己的风险承受能力决定何时在自己的环境中应用此修复程序。换句话说，静默漏洞修补往往只能帮助主动攻击者，而让防御者对新发现问题的真正风险一无所知。”

合勤科技则声称“在披露协调过程中存在沟通不畅”，并且“始终遵循协调披露的原则”。

9.8 月底，Zyxel 发布了针对其 CGI 程序中另一个 CVSS XNUMX 漏洞的通报，该漏洞可能允许攻击者绕过身份验证并通过管理访问权限在设备上运行。

相关范围