Zyxel, Zyxel güvenlik duvarı cihazlarını etkileyen ve kimliği doğrulanmamış ve uzak saldırganların rastgele kod yürütme elde etmesine olanak tanıyan kritik bir güvenlik açığını gidermek için harekete geçti.
Şirket, “Bazı güvenlik duvarı sürümlerinin CGI programında bir komut enjeksiyon güvenlik açığı, bir saldırganın belirli dosyaları değiştirmesine ve ardından güvenlik açığı bulunan bir cihazda bazı işletim sistemi komutlarını yürütmesine izin verebilir” dedi. dedim Perşembe günü yayınlanan bir danışma belgesinde.
Siber güvenlik firması Rapid7, keşfetti ve kusuru 13 Nisan 2022’de bildirdi ve zayıflığın, kimliği doğrulanmamış uzak bir saldırganın, etkilenen cihazlarda “hiç kimse” kullanıcısı olarak kod yürütmesine izin verebileceğini söyledi.
olarak izlendi CVE-2022-30525 (CVSS puanı: 9.8), ZLD V5.30 sürümünde yayınlanan yamalar ile kusur aşağıdaki ürünleri etkiler –
- USG FLEX 100(W), 200, 500, 700
- USG FLEX 50(W) / USG20(W)-VPN
- ATP serisi ve
- VPN serisi
Rapid 7, internete maruz kalan en az 16.213 güvenlik açığı bulunan Zyxel cihazının bulunduğunu ve bunun tehdit aktörlerinin potansiyel istismar girişimlerini gerçekleştirmesi için karlı bir saldırı vektörü haline geldiğini kaydetti.
Siber güvenlik firması ayrıca, Zyxel’in 28 Nisan 2022’de ilgili bir Ortak Güvenlik Açıkları ve Etkilenmeler yayınlamadan sorunu çözmek için sessizce düzeltmeler yayınladığını belirtti (CVE) tanımlayıcı veya bir güvenlik danışmanlığı. Zyxel, uyarısında, bunun suçunu “ifşa koordinasyon süreci sırasında bir yanlış iletişim” ile suçladı.
Rapid7 araştırmacısı Jake Baines, “Sessiz güvenlik açığı düzeltme eki yalnızca aktif saldırganlara yardımcı olma eğilimindedir ve savunucuları yeni keşfedilen sorunların gerçek riski konusunda karanlıkta bırakır.” Dedi.
Danışmanlık, Zyxel’in bir komut enjeksiyonu (CVE-2022-26413), bir arabellek taşması (CVE-2022-26414) ve yerel ayrıcalık yükseltme (CVE-2022-0556) kusuru, VMG3312-T20A kablosuz yönlendiricisinde ve AP Configurator’da rastgele kod yürütülmesine neden olabilir.