Lundi, l’agence américaine de cybersécurité et de sécurité des infrastructures ajoutée deux failles de sécurité, dont le bogue d’exécution de code à distance récemment divulgué affectant les pare-feu Zyxel, à son Catalogue des vulnérabilités exploitées connuescitant des preuves d’exploitation active.
Suivie sous le nom de CVE-2022-30525, la vulnérabilité est classée 9,8 pour la gravité et concerne une faille d’injection de commande dans certaines versions du pare-feu Zyxel qui pourrait permettre à un adversaire non authentifié d’exécuter des commandes arbitraires sur le système d’exploitation sous-jacent.
Les appareils concernés incluent –
- USG FLEX 100, 100W, 200, 500, 700
- USG20-VPN, USG20W-VPN
- ATP 100, 200, 500, 700, 800 et
- Série VPN
Le problème, pour lequel des correctifs ont été publiés par la firme taïwanaise fin avril (ZLD V5.30), est devenu public le 12 mai à la suite d’un processus de divulgation coordonné avec Rapid7.
À peine un jour plus tard, la Fondation Shadowserver mentionné il a commencé à détecter les tentatives d’exploitation, la plupart des appareils vulnérables étant situés en France, en Italie, aux États-Unis, en Suisse et en Russie.
Également ajouté par CISA au catalogue est CVE-2022-22947une autre vulnérabilité d’injection de code dans Spring Cloud Gateway qui pourrait être exploitée pour permettre une exécution à distance arbitraire sur un hôte distant au moyen d’une requête spécialement conçue.
La vulnérabilité est notée 10 sur 10 sur le système de notation des vulnérabilités CVSS et a depuis été adressé dans Spring Cloud Gateway versions 3.1.1 ou ultérieures et 3.0.7 ou ultérieures à partir de mars 2022.