Kerentanan Eksekusi Jarak Jauh Zyxel yang Jahat Dieksploitasi

Akhir pekan lalu, Rapid7 membuka Bug jahat di firewall Zyxel yang memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk mengeksekusi kode sebagai pengguna yang tidak dijaga.

Masalah pemrograman bukanlah untuk membersihkan input, tetapi untuk meneruskan dua bidang ke pengendali CGI, yang memasukkannya ke dalam panggilan sistem. Model yang terpengaruh adalah VPN dan seri ATP, serta USG 100(W), 200, 500, 700 dan Flex 50(W)/USG20(W)-VPN.

Pada saat itu, Rapid7 mengatakan Shodan telah menemukan 15.000 model yang terpengaruh di internet. Namun, selama akhir pekan, Yayasan Shadowserver meningkatkan jumlah itu menjadi lebih dari 20.800.

“Yang paling populer adalah USG20-VPN (10K IP) dan USG20W-VPN (IP 5.7K). Sebagian besar model yang terpengaruh CVE-2022-30525 berada di UE – Prancis (4.5K) dan Italia (4.4K),” dia menciak.

Yayasan itu juga mengatakan mulai mengeksploitasi kerentanan pada 13 Mei dan mendesak pengguna untuk segera menambalnya.

Setelah Rapid7 melaporkan kerentanan pada 13 April, pembuat perangkat keras Taiwan diam-diam merilis tambalan pada 28 April. Rapid7 baru menyadari bahwa rilis dilakukan pada tanggal 9 Mei, dan akhirnya menghubungkan blog dan modul Metasploitnya dengan Pengumuman Zyxeldan tidak puas dengan timeline peristiwa.

“Rilis tambalan ini sama saja dengan merilis detail kerentanan, karena penyerang dan peneliti dapat dengan mudah membalikkan tambalan untuk mempelajari detail eksploit yang tepat, sementara pembela jarang repot melakukannya,” tulis penemu kerentanan Rapid7 Jake Baines.

“Dengan demikian, kami merilis pengungkapan ini lebih awal untuk membantu pembela mendeteksi kerentanan dan membantu mereka memutuskan kapan harus menerapkan perbaikan ini di lingkungan mereka berdasarkan toleransi risiko mereka. Dengan kata lain, patch kerentanan diam cenderung hanya membantu penyerang proaktif, sementara meninggalkan pembela dalam kegelapan tentang risiko nyata dari masalah yang baru ditemukan.”

Untuk bagiannya, Zyxel mengklaim “ada miskomunikasi dalam proses koordinasi pengungkapan” dan “selalu mengikuti prinsip pengungkapan terkoordinasi.”

Pada akhir Maret, Zyxel mengeluarkan peringatan untuk kerentanan CVSS 9.8 lainnya dalam program CGI-nya yang dapat memungkinkan penyerang melewati otentikasi dan berjalan di perangkat dengan akses administratif.

Laporan terkait

Bandwidth vs Kecepatan Data Dijelaskan 2023 [Guide to VPN…

Jika Anda pernah mencoba membeli paket data atau VPN, Anda mungkin pernah melihat istilah “bandwidth” dan “laju data” sebelumnya, dan Anda bahkan mungkin melihatnya...
Ngademin
4 min read