Zyxel đã chuyển sang giải quyết một lỗ hổng bảo mật quan trọng ảnh hưởng đến các thiết bị tường lửa Zyxel cho phép những kẻ tấn công từ xa và không được xác thực có thể thực thi mã tùy ý.
“Một lỗ hổng chèn lệnh trong chương trình CGI của một số phiên bản tường lửa có thể cho phép kẻ tấn công sửa đổi các tệp cụ thể và sau đó thực thi một số lệnh hệ điều hành trên một thiết bị dễ bị tấn công”, công ty cho biết trong một tư vấn được công bố hôm thứ Năm.
Công ty bảo mật mạng Rapid7, đã phát hiện và báo cáo lỗ hổng vào ngày 13 tháng 4 năm 2022, nói rằng điểm yếu này có thể cho phép kẻ thù không được xác thực từ xa thực thi mã với tư cách là người dùng “không ai” trên các thiết bị bị ảnh hưởng.
Được theo dõi là CVE-2022-30525 (điểm CVSS: 9,8), lỗ hổng này ảnh hưởng đến các sản phẩm sau, với các bản vá được phát hành trong phiên bản ZLD V5.30 –
USG FLEX 100 (W), 200, 500, 700 USG FLEX 50 (W) / USG20 (W) -VPN ATP series và dòng VPN
Rapid 7 lưu ý rằng có ít nhất 16.213 thiết bị Zyxel dễ bị tấn công được tiếp xúc với internet, khiến nó trở thành vectơ tấn công sinh lợi cho các tác nhân đe dọa đến các nỗ lực khai thác tiềm năng.
Công ty an ninh mạng cũng chỉ ra rằng Zyxel đã âm thầm đưa ra các bản sửa lỗi để giải quyết vấn đề vào ngày 28 tháng 4 năm 2022 mà không công bố mã định danh Các lỗ hổng và phơi nhiễm phổ biến (CVE) liên quan hoặc một tư vấn bảo mật. Zyxel, trong cảnh báo của mình, đã đổ lỗi cho điều này là do “thông tin sai trong quá trình phối hợp tiết lộ.”
Nhà nghiên cứu Jake Baines của Rapid7 cho biết: “Việc vá lỗ hổng bảo mật có xu hướng chỉ giúp ích cho những kẻ tấn công tích cực và khiến những người bảo vệ chìm trong bóng tối về nguy cơ thực sự của các vấn đề mới được phát hiện.
Lời khuyên được đưa ra khi Zyxel giải quyết ba vấn đề khác nhau, bao gồm chèn lệnh (CVE-2022-26413), tràn bộ đệm (CVE-2022-26414) và lỗi báo cáo đặc quyền cục bộ (CVE-2022-0556), trong VMG3312 của nó Bộ định tuyến không dây -T20A và Bộ cấu hình AP có thể dẫn đến việc thực thi mã tùy ý.
.
