严重的 Zyxel 远程执行漏洞正在被利用

上周末，Rapid7 披露了 Zyxel 防火墙中的一个严重 bug，该 bug 可能允许未经身份验证的远程攻击者以 nobody 用户身份执行代码。

编程问题不是对输入进行清理，而是将两个字段传递给 CGI 处理程序，并将其送入到系统调用中。受影响的型号是其 VPN 和 ATP 系列，以及 USG 100(W)、200、500、700 和 Flex 50(W)/USG20(W)-VPN。

当时，Rapid7 表示，Shodan 在互联网上发现了 15000 个受影响的模型。然而，在周末，Shadowserver Foundation 将该数字提高到了 20800 多个。

“最常用的是 USG20-VPN（10K IP）和 USG20W-VPN（5.7K IP）。大多数 CVE-2022-30525 受影响的型号都在欧盟 – 法国（4.5K）和意大利（4.4K），”该基金会表示。

该基金会还表示，从5月13日开始，他们就发现了这种漏洞，并敦促用户立即打补丁。

在 Rapid7 于 4 月 13 日报告漏洞后，这家台湾硬件制造商于 4 月 28 日悄悄发布了补丁。 Rapid7 直到 5 月 9 日才意识到补丁已发布，最终将其博客和 Metasploit 模块与Zyxel 通知一起发布，但对事件的时间表并不满意。

“这个补丁发布无异于发布漏洞的详细信息，因为攻击者和研究人员可以轻松地逆转补丁以了解精确的利用细节，而防御者很少费心去做，”Rapid7 漏洞的发现者 Jake Baines 写道。

“因此，我们提前发布此披露是为了帮助防御者检测漏洞，并帮助他们根据自己的风险承受能力，决定何时在自己的环境中中应用这一修复。换句话说，静默漏漏洞修补往往只会帮助主动的攻击者，而让防御者对新发现问题的真正风险一无所知。”

就 Zyxel 而言，它声称“在披露协调过程中存在沟通失误”，并“始终遵循协调披露的原则”。

3 月底，Zyxel 发布了针对其 CGI 程序中另一个 CVSS 9.8 漏洞的公告，该漏洞可能允许攻击者绕过身份验证，并通过管理访问绕过设备。

The post 严重的 Zyxel 远程执行漏洞正在被利用 first appeared on Linux迷.