امکان دسترسی به شبکههای سازمانی با نقص مهم در فایروالهای Zyxel
یک آسیبپذیری حیاتی (CVE-2022-30525) که چندین مدل از فایروالهای Zyxel را تحت تأثیر قرار میدهد، به همراه یک ماژول Metasploit که از آن بهرهبرداری میکند، به صورت عمومی افشا شده است.
این آسیبپذیری که توسط جیک بینز، محقق Rapid 7 کشف شد و در ۱۳آوریل به Zyxel اطلاع داده شد، توسط این شرکت با پچهایی که در ۲۸آوریل منتشر شد برطرف شد، اما تا کنون توسط شرکت از طریق CVE یا توصیه نامه امنیتی مرتبطی، تأیید نشده است.
جزییات CVE-2022-30525
آسیبپذیری CVE-2022-30525، ممکن است توسط مهاجمان احراز هویت نشده و از راه دور برای تزریق دستورات به سیستم عامل از طریق رابط HTTP مدیریتی فایروالهای آسیبپذیر (در صورت قرار گرفتن در اینترنت) مورد سواستفاده قرار گیرد، که به آنها اجازه میدهد فایلهای خاصی را تغییر داده و کامندهای سیستمعامل را اجرا کنند.
همانطور که توسط Zyxel تأیید شده است، این آسیبپذیری، بر مدلهای فایروال و نسخههای فریمور زیر تأثیر میگذارد:
• USG FLEX 100(W), 200, 500, 700 – فریمور: ZLD V5.00 تا ZLD V5.21 Patch 1
• USG FLEX 50(W) / USG20(W)-VPN – فریمور: ZLD V5.10 تا ZLD V5.21 Patch 1
• ATP Series – فریمور: ZLD V5.10 تا ZLD V5.21 Patch 1
• VPN Series – فریمور: ZLD V4.60 تا ZLD V5.21 Patch 1
رفع و کاهش خطر
با وجود پچی که میتوان آن را مهندسی معکوس کرد و ماژول Metasploit که در دسترس است، بیش از ۱۶۰۰۰ دستگاه آسیبپذیر قابل کشف از طریق Shodan ممکن است در روزها و ماههای آینده مورد هدف مهاجمان قرار گیرند، که این اتفاق ممکن است بهویژه توسط کارگزاران دسترسی اولیه حادث شود.
به ادمینهای دستگاههای آسیب دیده توصیه میشود در اسرع وقت فریمور خود را به نسخه V5.30 ارتقا دهند.
«در صورت امکان، بروزرسانی خودکار سیستم عامل را فعال کنید». بینز همچنین توصیه کرد دسترسی WAN به اینترفیس وب ادمین سیستم را غیرفعال کنید.
بینز از اینکه Zyxel این آسیبپذیری را بیصدا پچ کرده، ابراز تأسف کرده است، زیرا این «تنها به مهاجمان فعال کمک میکند و مدافعان را در مورد خطر واقعی مسائل جدید کشفشده در ناآگاهی کامل رها مینماید».
با این حال، زایکسل میگوید که این مسأله عمدی نبوده، بلکه به دلیل «ارتباط نادرست در طول فرآیند هماهنگی افشای اطلاعات» پیش آمده است.