聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
CVE-2022-30525 是一个经由HTTP 接口的未认证远程命令注入漏洞,影响支持ZTP的Zyxel 防火墙。受影响固件版本是 ZLD5.00至ZLD 5.21 Patch 1。
CVE-2022-30525 影响使用固件版本 5.21 及后续版本的如下型号:
-
USG FLEX 50、50W、100W、200、500和 700
-
USG20-VPN 和 USG20W-VPN
-
ATP 100、200、500、700、800
这些产品一般用于小型分支机构和企业总部,用于 VPN、SSL 检查、入侵防御、邮件安全和 web 过滤。
Rapid 7 发布报告指出,“命令被以 ‘nobody’ 用户的身份执行。该漏洞通过 /ztp/cgi-bin/handler URI 利用,是因为将未清理的攻击者输入传递到 lib_wan_setting.py 的 os.system 方法中造成的。该易受攻击的功能和 setWanPortSt 命令关联调用。攻击者可将任意命令注入到mtu 或数据参数中。”
Zyxel 公司证实了该报告以及缺陷的有效性,承诺在2022年6月发布修复安全更新,而实际上该公司在2022年4月28日就发布了补丁且并未提供安全公告、技术详情或缓解指南。
今天,Rapid 7 披露了该漏洞以及相对应的 Metasploit 模块,该模块通过在 MTU 字段中注入命令而利用该漏洞。另外,发现该漏洞的研究人员还发布了exploit。
这类攻击造成的后果一般是修改文件和OS命令执行,可导致攻击者获得初始网络访问权限并在网络中横向移动。
Rapid 7 公司指出,“受CVE-2022-30525影响的 Zxyel 防火墙是我们通常所说的‘网络跳转’。利用该漏洞可能导致攻击者在受害者内网中立足,进而攻击(或跳转到)内网中。真实攻击的案例即 Phineas Fisher 组织对 Hacking Team 的攻击,Fisher 组织利用的就是面向互联网的防火墙/VPN。Fisher 获得完全访问权限后横向移动到内网。”
鉴于漏洞细节已被披露且受 Metasploit 支持,因此建议所有管理员立即更新设备,以免遭攻击。
报告指出,在该漏洞发现时,至少16,213 个易受攻击系统就被暴露到互联网,成为威胁行动者的心头好。如无法升级至最新版本,则建议至少禁用对受影响产品的管理员 web 接口的WAN访问权限。
就在本文成稿之时,Zyxel 公司发布了关于CVE-2022-30525的安全公告,并指出和Rapid7公司之间缺乏沟通,从而造成误解。
https://www.bleepingcomputer.com/news/security/zyxel-silently-fixes-critical-rce-vulnerability-in-firewall-products/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):Zyxel 悄悄修复防火墙产品中的严重RCE漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论