什麼是Zyxel?
Zyxel是商標名,由Zyxel Communications Corp.和Zyxel Networks兩家公司共同使用,這兩家公司專注於網路設備的生產以及為通訊服務提供者提供服務。 Zyxel總部位於台灣新竹,在北美、歐洲和亞洲等地設有分公司。
事件概述
駭客開始利用一種新的嚴重漏洞,影響Zyxel的商業防火牆和VPN設備。該漏洞被稱為CVE-2022-30525 ,是一種命令注入漏洞,存在於某些防火牆版本的CGI程式中,可能允許攻擊者修改特定檔案並在受影響設備上執行作業系統命令。
漏洞詳細資訊
根據BleepingComputer的解釋,如果利用成功,遠端攻擊者將能夠在不需要身份驗證的情況下注入任意命令。這可能使得建立反向Shell成為可能。
漏洞發現與修復
在2022年4月28日,Zyxel發布了韌體更新,修復了在其防火牆(USG FLEX系列、ATP系列、USG20-VPN/USG20w-VPN)中發現的未認證和遠端命令注入漏洞。該漏洞被分配為CVE-2022-30525。
Jacob Baines ,Rapid7的首席安全研究員,發現了這個漏洞。在一篇簡短的技術論文中,他展示了該缺陷如何在攻擊中被利用。 Metasploit滲透測試框架也已經更新,增加了一個模組。
受影響的型號
受影響的型號透過管理HTTP介面存在未認證和遠端命令注入的風險。命令以“nobody”用戶身份執行。此漏洞透過/ztp/cgi-bin/handler URI被利用,原因是將未清理的攻擊者輸入傳遞給lib_wan_settings.py中的os.system方法。受影響的功能與setWanPortSt指令相關聯。攻擊者可以在mtu或data參數中註入任意命令。以下是一個範例curl指令,將導致防火牆執行ping 192.168.1.220 。
安全建議
Zyxel在2022年5月12日發布了關於CVE-2022-30525的安全建議,該漏洞的嚴重性評分為9.8。警告中指出,已為受影響的型號提供了修復,並敦促管理員應用最新的更新。
受影響型號及韌體版本
| 受影響型號| 受影響的韌體版本| 修復可用性| |--------------------------|---------------------- -----------|-----------| | USG FLEX 100(W), 200, 500, 700 | ZLD V5.00至ZLD V5.21 Patch 1 | ZLD V5.30 | | USG FLEX 50(W) / USG20(W)-VPN | ZLD V5.10至ZLD V5.21 Patch 1 | ZLD V5.30 | | ATP系列| ZLD V5.10至ZLD V5.21 Patch 1 | ZLD V5.30 | | VPN系列| ZLD V4.60至ZLD V5.21 Patch 1 | ZLD V5.30 |
Rob Joyce ,美國國家安全局(NSA)網路安全總監,已向用戶發出警告,提醒他們注意被利用的可能性,並鼓勵他們更新設備韌體版本,因為該安全問題的嚴重性及其可能造成的損害非常嚴重。
「正在進行利用。檢查您的Zyxel防火牆版本和修補程式。CVE-2022-30525」 — Rob Joyce
結論
確保您的Zyxel裝置更新至最新韌體版本,以防止潛在的安全風險。如果您對網路安全感興趣,請關注我們的社群媒體平台,例如LinkedIn、Twitter、Facebook、YouTube和Instagram,以獲取更多網路安全新聞和主題。
