Η Zyxel έχει επιδιορθώσει κρίσιμα firewall flaws που θα μπορούσαν να έχουν επιτρέψει στους απειλητικούς παράγοντες να αποκτήσουν πλήρη πρόσβαση στις συσκευές και στα εσωτερικά εταιρικά δίκτυα που έχουν σχεδιαστεί για να προστατεύουν.
Δείτε επίσης: Eternity Project: Το malware κιτ που προσφέρει εργαλεία hacking
Η εταιρεία κυκλοφόρησε τις ενημερώσεις ασφαλείας σε μια σιωπηλή ενημέρωση πριν από δύο εβδομάδες, αλλά περισσότερες λεπτομέρειες προέκυψαν πρόσφατα.
Οι ερευνητές ασφαλείας στο Rapid7 βρήκαν το ελάττωμα, το οποίο τώρα παρακολουθείται ως CVE-2022-30525 (βαθμολογία CVSS v3: 9,8 – κρίσιμο) και το αποκάλυψαν στη Zyxel στις 13 Απριλίου 2022.
Το ελάττωμα είναι ένα remote command injection μέσω του interface HTTP, που επηρεάζει τα Zyxel firewalls που υποστηρίζουν Zero Touch Provisioning (ZTP). Οι επηρεαζόμενες εκδόσεις firmware είναι ZLD5.00 έως ZLD5.21 Patch 1.
Δείτε επίσης: Φυλακίζεται Ουκρανός για την πώληση χιλιάδων credentials στο dark web
Το CVE-2022-30525 επηρεάζει τα ακόλουθα μοντέλα:
- USG FLEX 50, 50W, 100W, 200, 500, 700 με χρήση firmware 5.21 και κάτω
- USG20-VPN και USG20W-VPN χρησιμοποιώντας firmware 5.21 και νεότερη έκδοση
- ATP 100, 200, 500, 700, 800 με χρήση firmware 5.21 και κάτω
Αυτά τα προϊόντα χρησιμοποιούνται συνήθως σε μικρά υποκαταστήματα και εταιρικά κεντρικά γραφεία για VPN, επιθεώρηση SSL, προστασία από εισβολές, ασφάλεια email και web filtering.
Η Zyxel επιβεβαίωσε την αναφορά και την εγκυρότητα του ελαττώματος και υποσχέθηκε να κυκλοφορήσει τις ενημερώσεις ασφαλείας επιδιόρθωσης τον Ιούνιο του 2022, ωστόσο κυκλοφόρησε μια ενημερωμένη έκδοση κώδικα στις 28 Απριλίου 2022, χωρίς να παράσχει security advisory, τεχνικές λεπτομέρειες ή οδηγίες mitigation στους πελάτες της.
Πιθανόν σύντομα να γίνει exploit
Σήμερα, το Rapid 7 δημοσίευσε την αναφορά αποκάλυψης μαζί με το αντίστοιχο Metasploit module που εκμεταλλεύεται το CVE-2022-30525 εισάγοντας εντολές στο πεδίο MTU.
Ο ερευνητής που ανακάλυψε το ελάττωμα και ανέπτυξε ένα λειτουργικό αποτέλεσμα για δοκιμές, ο Jake Baines, δημοσίευσε και το παρακάτω βίντεο επίδειξης.
Οι τυπικές συνέπειες μιας τέτοιας επίθεσης θα ήταν η τροποποίηση αρχείου και η εκτέλεση εντολών του λειτουργικού συστήματος, επιτρέποντας στους απειλητικούς παράγοντες να αποκτήσουν αρχική πρόσβαση σε ένα δίκτυο και να εξαπλωθούν πλευρικά μέσω ενός δικτύου.
“Τα Zxyel firewalls που επηρεάζονται από το CVE-2022-30525 είναι αυτά που συνήθως αναφέρουμε ως “κεντρικό άξονα δικτύου”. Η εκμετάλλευση του CVE-2022-30525 πιθανότατα θα επιτρέψει σε έναν εισβολέα να δημιουργήσει μια βάση στο εσωτερικό δίκτυο του θύματος», δήλωσε το Rapid7 στο BleepingComputer.
“Από αυτό το σημείο, ο εισβολέας μπορεί να επιτεθεί (ή να περιστραφεί) σε εσωτερικά συστήματα που διαφορετικά δεν θα εκτίθεντο στο διαδίκτυο.”
“Ένα πραγματικό παράδειγμα αυτού του είδους επίθεσης θα ήταν η επίθεση του Phineas Fisher στην Hacking Team, στην οποία ο Fisher εκμεταλλεύτηκε ένα internet-facing firewall/VPN.”
“Μόλις ο Fisher είχε πλήρη πρόσβαση στο firewall/VPN, μπόρεσε να μετακινηθεί πλευρικά σε εσωτερικά συστήματα (π.χ. βάσεις δεδομένων MongoDB, αποθήκευση NAS, servers Exchange).
Δείτε επίσης: Η ομάδα Armageddon εξαπολύει νέα κυβερνοεπίθεση στην Ουκρανία
Καθώς οι τεχνικές λεπτομέρειες της ευπάθειας έχουν κυκλοφορήσει και τώρα υποστηρίζεται από το Metasploit, όλοι οι διαχειριστές θα πρέπει να ενημερώσουν τις συσκευές τους αμέσως προτού οι απειλητικοί φορείς αρχίσουν να εκμεταλλεύονται ενεργά το ελάττωμα.
Το Rapid 7 αναφέρει ότι τη στιγμή της ανακάλυψης, υπήρχαν τουλάχιστον 16.213 ευάλωτα συστήματα εκτεθειμένα στο Διαδίκτυο, καθιστώντας αυτήν την ευπάθεια ελκυστικό στόχο για τους απειλητικούς παράγοντες.
Εάν η ενημέρωση στην πιο πρόσφατη διαθέσιμη έκδοση είναι αδύνατη, συνιστάται να απενεργοποιήσετε τουλάχιστον την πρόσβαση WAN στο administrative web interface των επηρεαζόμενων προϊόντων.
Οι πελάτες του InsightVM και του Nexpose μπορούν να αξιολογήσουν την έκθεσή τους στο CVE-2022-30525 με έναν απομακρυσμένο έλεγχο ευπάθειας.
Η Zyxel δημοσίευσε μια συμβουλή ασφαλείας για το CVE-2022-30525, αποδίδοντας την έλλειψη συντονισμού με το Rapid7 σε κακή επικοινωνία.
Πηγή πληροφοριών: bleepingcomputer.com
