Zyxel is verhuisd om een kritieke beveiligingskwetsbaarheid aan te pakken die de firewall-apparaten van Zyxel treft, waardoor niet-geverifieerde en externe aanvallers willekeurige code kunnen uitvoeren.
“Een kwetsbaarheid voor commando-injectie in het CGI-programma van sommige firewallversies kan een aanvaller in staat stellen specifieke bestanden aan te passen en vervolgens enkele OS-commando’s uit te voeren op een kwetsbaar apparaat”, zegt het bedrijf. zei in een donderdag gepubliceerd advies.
Cyberbeveiligingsbedrijf Rapid7, dat ontdekt en meldde de fout op 13 april 2022, zei dat de zwakte een niet-geverifieerde tegenstander op afstand in staat zou kunnen stellen code uit te voeren als de “niemand” -gebruiker op getroffen apparaten.
Bijgehouden als CVE-2022-30525 (CVSS-score: 9,8), de fout heeft gevolgen voor de volgende producten, met patches die zijn uitgebracht in versie ZLD V5.30 –
- USG FLEX 100(W), 200, 500, 700
- USG FLEX 50(W) / USG20(W)-VPN
- ATP-serie, en
- VPN-serie
Rapid 7 merkte op dat er ten minste 16.213 kwetsbare Zyxel-apparaten zijn blootgesteld aan internet, waardoor het een lucratieve aanvalsvector is voor bedreigingsactoren om potentiële uitbuitingspogingen te organiseren.
Het cyberbeveiligingsbedrijf wees er ook op dat Zyxel op 28 april 2022 in stilte oplossingen heeft uitgegeven om het probleem aan te pakken zonder een bijbehorende veelvoorkomende kwetsbaarheden en blootstellingen te publiceren (CVE) identificatiecode of een beveiligingsadvies. Zyxel, in zijn waarschuwing, wijt dit aan een “miscommunicatie tijdens het coördinatieproces van de openbaarmaking”.
“Silent patching voor kwetsbaarheden helpt alleen actieve aanvallers en laat verdedigers in het ongewisse over het werkelijke risico van nieuw ontdekte problemen”, zegt Rapid7-onderzoeker Jake Baines.
Het advies komt omdat Zyxel drie verschillende problemen heeft aangepakt, waaronder een commando-injectie (CVE-2022-26413), een bufferoverloop (CVE-2022-26414), en een lokale privilege-escalatie (CVE-2022-0556) fout, in de VMG3312-T20A draadloze router en AP Configurator die zou kunnen leiden tot het uitvoeren van willekeurige code.
