什么是Zyxel?
Zyxel是一个商标名,由Zyxel Communications Corp.和Zyxel Networks两家公司共同使用,这两家公司专注于网络设备的生产以及为通信服务提供商提供服务。Zyxel总部位于台湾新竹,在北美、欧洲和亚洲等地设有分支机构。
事件概述
黑客开始利用一种新的严重漏洞,影响Zyxel的商业防火墙和VPN设备。该漏洞被称为CVE-2022-30525,是一种命令注入漏洞,存在于某些防火墙版本的CGI程序中,可能允许攻击者修改特定文件并在受影响设备上执行操作系统命令。
漏洞详细信息
根据BleepingComputer的解释,如果利用成功,远程攻击者将能够在不需要身份验证的情况下注入任意命令。这可能使得建立反向Shell成为可能。
漏洞发现与修复
在2022年4月28日,Zyxel发布了固件更新,修复了在其防火墙(USG FLEX系列、ATP系列、USG20-VPN/USG20w-VPN)中发现的未认证和远程命令注入漏洞。该漏洞被分配为CVE-2022-30525。
Jacob Baines,Rapid7的首席安全研究员,发现了该漏洞。在一篇简短的技术论文中,他展示了该缺陷如何在攻击中被利用。Metasploit渗透测试框架也已经更新,增加了一个模块。
受影响的型号
受影响的型号通过管理HTTP接口存在未认证和远程命令注入的风险。命令以“nobody”用户身份执行。该漏洞通过/ztp/cgi-bin/handler URI被利用,其原因是将未清理的攻击者输入传递给lib_wan_settings.py中的os.system方法。受影响的功能与setWanPortSt命令相关联。攻击者可以在mtu或data参数中注入任意命令。以下是一个示例curl命令,将导致防火墙执行ping 192.168.1.220。
安全建议
Zyxel在2022年5月12日发布了关于CVE-2022-30525的安全建议,该漏洞的严重性评分为9.8。警告中指出,已为受影响的型号提供了修复,并敦促管理员应用最新的更新。
受影响型号及固件版本
| 受影响型号 | 受影响的固件版本 | 修复可用性 | |--------------------------|---------------------------------|-----------| | USG FLEX 100(W), 200, 500, 700 | ZLD V5.00至ZLD V5.21 Patch 1 | ZLD V5.30 | | USG FLEX 50(W) / USG20(W)-VPN | ZLD V5.10至ZLD V5.21 Patch 1 | ZLD V5.30 | | ATP系列 | ZLD V5.10至ZLD V5.21 Patch 1 | ZLD V5.30 | | VPN系列 | ZLD V4.60至ZLD V5.21 Patch 1 | ZLD V5.30 |
Rob Joyce,美国国家安全局(NSA)网络安全总监,已向用户发出警告,提醒他们注意被利用的可能性,并鼓励他们更新设备固件版本,因为该安全问题的严重性及其可能造成的损害非常严重。
“正在进行利用。检查您的Zyxel防火墙版本和补丁。CVE-2022-30525” — Rob Joyce
结论
确保您的Zyxel设备更新到最新固件版本,以防止潜在的安全风险。如果您对网络安全感兴趣,请关注我们的社交媒体平台,例如LinkedIn、Twitter、Facebook、YouTube和Instagram,以获取更多网络安全新闻和话题。
