0
0
Uma vulnerabilidade crítica (CVE-2022-30525) que afeta vários modelos de firewalls Zyxel foi revelada publicamente, juntamente com um módulo Metasploit que o explora.
Descoberto pelo pesquisador da Rapid 7 Jake Baines e divulgado à Zyxel em 13 de abril, ele foi corrigido pela empresa com patches lançados em 28 de abril, mas não reconhecido publicamente pela empresa através de um CVE associado ou assessoria de segurança até agora.
Sobre cve-2022-30525
CVE-2022-30525 é uma vulnerabilidade que pode ser explorada por invasores remotos não autenticados para injetar comandos no SO através da interface HTTP administrativa dos firewalls vulneráveis (se exposta na internet), permitindo que eles modifiquem arquivos específicos e executem comandos do SISTEMA OPERACIONAL.
Como confirmado pela Zyxel, afeta os seguintes modelos de firewall e versões de firmware:
- USG FLEX 100(W), 200, 500, 700 – Firmware: ZLD V5.00 através do ZLD V5.21 Patch 1
- USG FLEX 50(W) / USG20(W)-VPN – Firmware: ZLD V5.10 através do ZLD V5.21 Patch 1
- Série ATP – Firmware: ZLD V5.10 através do ZLD V5.21 Patch 1
- Série VPN – Firmware: ZLD V4.60 através do ZLD V5.21 Patch 1
Correções e mitigações
Com um patch lá fora que pode ser projetado reverso e um módulo Metasploit disponível, os mais de 16.000 dispositivos vulneráveis descobertos via Shodan podem ser alvo de atacantes nos próximos dias e meses, talvez especialmente por corretores de acesso iniciais.
Os administradores dos dispositivos afetados são aconselhados a atualizar o firmware para V5.30 o mais rápido possível.
“Se possível, habilite atualizações automáticas de firmware. Desativar o acesso wan à interface web administrativa do sistema”, também aconselhou Baines.
Baines lamentou que Zyxel corrigiu essa vulnerabilidade silenciosamente, porque isso “tende a ajudar apenas atacantes ativos, e deixa os defensores no escuro sobre o verdadeiro risco de problemas recém-descobertos”.
Zyxel, no entanto, diz que não foi de propósito, mas devido a “falha de comunicação durante o processo de coordenação de divulgação”.
ATUALIZAÇÃO (16 de maio de 2022, 06:05 a.m. ET):
Foram detectadas tentativas de exploração para cve-2022-30525.
FONTE: HELPNET SECURITY