Дефект, отслеживаемый как CVE-2022-30525, затрагивает межсетевые экраны серий ATP, VPN и USG FLEX. Уязвимость может быть использована удаленным неаутентифицированным злоумышленником для выполнения произвольного кода от имени пользователя “nobody” (никто).
Затронутые продукты рекомендованы для предприятий и предоставляют возможности VPN, проверки SSL, защиты от вторжений, веб-фильтрации и защиты электронной почты. Поисковая система Shodan показывает более 15 000 потенциально затронутых устройств, которые выходят в Интернет.
Уязвимость, обнаруженная Rapid7, была описана как проблема неавторизованной инъекции команд, которая может быть использована через HTTP-интерфейс устройства. Компания объяснила, как злоумышленник может использовать уязвимость для получения обратного командного интерпретатора.
Модуль Metasploit, использующий эту уязвимость, также был доступен.
Уязвимость была обнаружена в начале апреля, и в том же месяце Zyxel молча исправила проблему. И Rapid7, и Zyxel публично раскрыли информацию об уязвимости 12 мая.
“Выпуск этого патча равносилен раскрытию подробностей уязвимости, поскольку злоумышленники и исследователи могут тривиально откатить патч, чтобы узнать точные детали эксплуатации, в то время как защитники редко утруждают себя этим“, – заявили в Rapid7.
“Поэтому мы публикуем эту информацию раньше, чтобы помочь защитникам в обнаружении эксплуатации и помочь им решить, когда применять это исправление в их собственных средах, в соответствии с их собственным уровнем риска. Другими словами, молчаливое исправление уязвимостей, как правило, помогает только активным злоумышленникам и оставляет защитников в неведении относительно истинного риска вновь обнаруженных проблем“, – добавили в компании.
