Geçen haftanın sonlarında, siber güvenlik firması Rapid7, Tayvanlı modem üreticisi Zyxel’in güvenlik duvarlarında kötü bir kusur olduğunu açıkladı. Bu, kimliği doğrulanmamış bir uzak saldırganın kullanıcı olarak kod yürütmesine izin verebilir. Programlama sorunu, bir CGI işleyicisine iletilen iki alanın sistem çağrılarına beslenmesiyle girdi denetiminin olmamasıdır. Etkilenen modeller, VPN ve ATP serisinin yanı sıra USG 100(W), 200, 500, 700 ve Flex 50(W)/USG20(W)-VPN modelleridir.
O sırada Rapid7, internette etkilenen 15.000 model bulduğunu söyledi. Ancak hafta sonu, Shadowserver Foundation bu sayıyı 20.800’ün üzerine çıkardı: “En popüler olanları USG20-VPN (10K IP) ve USG20W-VPN (5.7K IP). CVE-2022-30525’ten etkilenen modellerin çoğu AB – Fransa (4.5K) ve İtalya’da (4.4K),” diye tweet attı web tehdidi algılama STK’sı.
Bu, 13 Mayıs’ta kusurun istismarının başladığını gördüğünü ve Zyxel damgalı modemlerin kullanıcılarını şirket tarafından çevrimiçi olarak sunulan yamaları hemen uygulamaya çağırdığını gösterdi. Rapid7, 13 Nisan’da güvenlik açığını bildirdikten sonra, Tayvanlı donanım üreticisi yamaları sessizce 28 Nisan’da yayınladı. Rapid7 yalnızca 9 Mayıs’ta sürümün gerçekleştiğini fark etti ve sonunda Zyxel’in bildirimiyle birlikte bloglarını ve Metasploit modülünü yayınladı ve olayların zaman çizelgesinden memnun değildi.
önceden açıklama
Jake, “Yamaları serbest bırakmak, güvenlik açıklarının ayrıntılarını serbest bırakmakla eşdeğerdir, çünkü saldırganlar ve araştırmacılar, istismarın kesin ayrıntılarını öğrenmek için ters yama yapabilirken, savunucular nadiren bunu yapmakla uğraşırlar” diye yazdı. Kusuru keşfeden Rapid7 araştırmacısı Baines.
“Bu nedenle, savunucuların istismarı tespit etmelerine ve bu yamayı kendi risk toleranslarına göre kendi ortamlarında ne zaman uygulayacaklarına karar vermelerine yardımcı olmak için bu erken açıklamayı yayınlıyoruz.” Başka bir deyişle, sessiz güvenlik açığı yamaları yalnızca aktif saldırganlara yardım etme eğilimindedir ve savunucuları yeni keşfedilen sorunların gerçek riski konusunda karanlıkta bırakır. »
Zyxel, kendi adına, “açıklamayı koordine etme sürecinde bir yanlış anlaşılma olduğunu” ve “hala koordineli açıklama ilkelerini takip ettiğini” iddia etti. Mart ayının sonunda Zyxel, CGI programında, bir saldırganın kimlik doğrulamasını atlamasına ve cihazı yönetici erişimiyle kullanmasına izin verebilecek başka bir CVSS 9.8 güvenlik açığına ilişkin bir danışma belgesi yayınladı.
Kaynak : ZDNet.com