Zyxel opravil kritické zranitelnosti firewallů, které mohly útočníkům umožnit plný přístup k zařízením a interním podnikovým sítím, informuje Bleeping Computer. Výrobce síťových prvků vydal aktualizace v tichosti již před dvěma týdny a teprve nedávno publikoval další podrobnosti.
Bezpečnostní experti ze společnosti Rapid7 našli kritickou chybu, která je evidována jako CVE-2022-30525, a na stupnici závažnosti je hodnocena 9,8 body z deseti. 13. dubna 2022 ji ohlásili Zyxelu s tím, že spočívá v neautentizovaném vzdáleném injektování příkazů přes rozhraní HTTP a týká se firewallů Zyxel podporujících funkci Zero Touch Provisioning (ZTP).
Díry ve firewallech Zyxel
Výše uvedená chyba CVE-2022-30525 se týká zařízení používaných zpravidla v menších firmách pro VPN, SSL, ochranu proti narušení, zabezpečení e-mailu a filtrování webu. Konkrétně jde o následující modely:
- USG FLEX 50, 50W, 100W, 200, 500 a 700 používající firmware 5.21 a nižší.
- USG20-VPN a USG20W-VPN používající firmware 5.21 a nižší.
- ATP 100, 200, 500, 700 a 800 používající firmware 5.21 a nižší.
„Zranitelná funkce je vyvolána ve spojení s příkazem setWanPortSt. Útočník může do parametru mtu nebo data vložit libovolný příkaz.“ konstatovali bezpečnostní experti. V pátek publikovali zprávu o svém objevu a zveřejnili video s funkčním exploitem.
Typickým důsledkem takového útoku je modifikace souborů a spuštění příkazů operačního systému, což útočníkům umožňuje získat přístup do sítě a dále do další infrastruktury. „Z tohoto vstupního bodu může útočník zaútočit na interní systémy, které by jinak nebyly vystaveny do internetu.“ upozornili experti.
Oprava vyšla v tichosti
Zyxel zprávu i platnost chyby potvrdil a slíbil, že opravné bezpečnostní aktualizace vydá v červnu 2022. Přesto 28. dubna 2022 vypustil opravu, aniž by svým zákazníkům poskytl jakékoli informace, technické podrobnosti nebo pokyny.
Vzhledem k tomu, že byly zveřejněny technické podrobnosti o zranitelnosti, by měli všichni správci okamžitě aktualizovat zařízení Zyxel dříve, než útočníci začnou tuto chybu aktivně využívat. Rapid 7 uvádí, že v době objevu bylo na internetu vystaveno nejméně 16 213 zranitelných systémů, což z této zranitelnosti činí atraktivní cíl.
Pokud z nějakého důvodu není možné provést aktualizaci firewallu na nejnovější dostupnou verzi, doporučuje se alespoň zakázat přístup k webovému rozhraní pro správu dotčených produktů prostřednictvím sítě WAN.
