Shadowserver hovorí, že vidí viac ako 20 000 firewallov Zyxel, ktoré sú zraniteľné voči neoverenému vzdialenému spusteniu kódu cez CVE-2022-30525.
Koncom minulého týždňa Rapid7 zverejnené nepríjemná chyba vo firewalloch Zyxel, ktorá by mohla umožniť neoverenému vzdialenému útočníkovi spustiť kód ako nikto.
Problémom s programovaním nebolo dezinfikovanie vstupu, pričom dve polia odovzdané obslužnému programu CGI boli vložené do systémových volaní. Ovplyvnenými modelmi boli jeho série VPN a ATP a USG 100(W), 200, 500, 700 a Flex 50(W)/USG20(W)-VPN.
V tom čase Rapid7 uviedol, že na internete je 15 000 postihnutých modelov, ktoré Shodan našiel. Cez víkend však nadácia Shadowserver Foundation zvýšila toto číslo na viac ako 20 800.
„Najpopulárnejšie sú USG20-VPN (10 000 IP) a USG20W-VPN (5,7 000 IP). Väčšina modelov, ktorých sa to týka CVE-2022-30525, sa nachádza v EÚ – vo Francúzsku (4,5 tis.) a Taliansku (4,4 tis.), tweetoval.
Nadácia tiež uviedla, že 13. mája spustila vykorisťovanie a vyzvala používateľov, aby okamžite vykonali opravu.
Po tom, čo Rapid7 13. apríla ohlásil zraniteľnosť, taiwanský výrobca hardvéru 28. apríla v tichosti vydal záplaty. Rapid7 si uvedomil, že k vydaniu došlo až 9. mája, a nakoniec zverejnil svoj blog a modul Metasploit spolu s Upozornenie Zyxela nebol spokojný s časovou osou udalostí.
"Toto vydanie opravy sa rovná zverejneniu podrobností o zraniteľnostiach, pretože útočníci a výskumníci môžu triviálne zvrátiť patch, aby ste sa naučili presné detaily využívania, zatiaľ čo obrancovia sa s tým len zriedka obťažujú,“ objaviteľ chyby Rapid7 Jake Baines napísal.
"Preto zverejňujeme toto zverejnenie včas, aby sme pomohli obhajcom pri odhaľovaní zneužívania a pomôcť im rozhodnúť sa, kedy použiť túto opravu v ich vlastnom prostredí, podľa ich vlastných tolerancií rizika. Inými slovami, tichá oprava zraniteľnosti má tendenciu pomáhať len aktívnym útočníkom a necháva obrancov v nevedomosti o skutočnom riziku novoobjavených problémov.“
Zyxel tvrdil, že došlo k „nesprávnej komunikácii počas procesu koordinácie zverejnenia“ a „vždy sa riadi zásadami koordinovaného zverejnenia“.
Koncom marca Zyxel zverejnila poradňu pre ďalšiu zraniteľnosť CVSS 9.8 v jeho programe CGI, ktorá by mohla útočníkovi umožniť obísť autentifikáciu a spustiť sa okolo zariadenia s administratívnym prístupom.
Súvisiace pokrytie
- Zyxel vyzýva zákazníkov, aby opravili kritickú chybu zabezpečenia obídenia brány firewall
- Našla sa škaredá bezpečnostná diera brány firewall netfilter pre systém Linux
- Sophos opravuje kritickú chybu zabezpečenia vzdialeného spúšťania kódu vo bráne firewall
- Bezpečnostné upozornenie: Hackeri používajú tento nový malvér na zacielenie na zariadenia brány firewall
- Ako zabezpečiť svoju domácu a kancelársku sieť: Najlepšie blokátory DNS a brány firewall