Hackers maken misbruik van kritieke bug in Zyxel firewalls en VPN’s

Hackers zijn begonnen met het misbruiken van een onlangs gepatchte kritieke kwetsbaarheid, getraceerd als CVE-2022-30525, die invloed heeft op Zyxel firewall- en VPN-apparaten voor bedrijven.

Succesvolle uitbuiting stelt een aanvaller op afstand in staat om willekeurige commando’s te injecteren zonder authenticatie, waardoor het mogelijk wordt een reverse shell op te zetten.

Het krijgen van shell

De kwetsbaarheid werd ontdekt door Jacob Baines, hoofdbeveiligingsonderzoeker bij Rapid7, die in een kort technisch rapport uitlegt hoe het euvel in aanvallen kan worden benut. Er is een module toegevoegd aan het Metasploit penetration testing framework.

“Commando’s worden uitgevoerd als de gebruiker nobody. Deze kwetsbaarheid wordt uitgebuit via de /ztp/cgi-bin/handler URI en is het resultaat van het doorgeven van niet-gesanitiseerde aanvaller-input aan de os.system methode in lib_wan_settings.py”- Jacob Baines

De onderzoeker merkt op dat een aanvaller een reverse shell kan opzetten met de normale bash GTFOBin.

Setting up a reverse shell after exploiting CVE-2022-30525 bug in Zyxel firewalls and VPNs
source: Rapid7

Zyxel heeft op 12 mei een security advisory uitgebracht voor CVE-2022-30525 (9.8 critical severity score), waarin het aankondigt dat er a fix was gereleased voor de getroffen modellen en beheerders aanspoort om de laatste updates te installeren:

Affected modelAffected firmware versionPatch availability
USG FLEX 100(W), 200, 500, 700ZLD V5.00 through ZLD V5.21 Patch 1ZLD V5.30
USG FLEX 50(W) / USG20(W)-VPNZLD V5.10 through ZLD V5.21 Patch 1ZLD V5.30
ATP seriesZLD V5.10 through ZLD V5.21 Patch 1ZLD V5.30
VPN seriesZLD V4.60 through ZLD V5.21 Patch 1ZLD V5.30

De ernst van het beveiligingsprobleem en de schade waartoe het kan leiden, is ernstig genoeg voor de NSA Cybersecurity Directeur Rob Joyce om gebruikers te waarschuwen voor uitbuiting en hen aan te moedigen de firmwareversie van het apparaat te updaten als het kwetsbaar is.

Vanaf vrijdag de 13e hebben beveiligingsexperts van de non-profitt Shadowserver Foundation gemeld dat ze pogingen tot uitbuiting voor CVE-2022-30525 hebben gezien.

Het is onduidelijk of deze pogingen kwaadwillig zijn of gewoon onderzoekers die bezig zijn Zyxel-apparaten in kaart te brengen die momenteel blootstaan aan aanvallen van adverteerders.

Shadowserver noticed CVE-2022-30525 exploitation attempts

Rapid7 scande het internet op kwetsbare Zyxel-producten en vond er meer dan 15.000 met behulp van het Shodan-zoekplatform voor hardware die op het internet is aangesloten.

Zyxel devices vulnerable to CVE-2022-30525
source: Rapid7

Shadowserver voerde een eigen scan uit en vond minstens 20.800 Zyxel firewall modellen op het open web die mogelijk getroffen zijn door de kwetsbaarheid.

De organisatie telde de hardware aan de hand van unieke IP-adressen en ontdekte dat meer dan 15.000 van hen USG20-VPN en USG20W-VPN, modellen waren, ontworpen voor “VPN-verbindingen tussen de filialen en winkelketens”.

De regio met de meeste potentieel kwetsbare apparaten is de Europese Unie, waarbij Frankrijk en Italië het grootste aantal hebben.

Geographic spread of Zyxel devices potentially vulnerable to CVE-2022-30525
source: Shadowserver Foundation

Pogingen tot misbruik detecteren

Gezien de ernst van de kwetsbaarheid en de populariteit van de apparaten, hebben beveiligingsonderzoekers code vrijgegeven die beheerders moet helpen bij het detecteren van het beveiligingslek en uitbuitingspogingen.

Als onderdeel van het redteam van het Spaanse telecombedrijf Telefónica heeft z3r00t een sjabloon gemaakt en gepubliceerd voor de Nuclei vulnerability scanning-oplossing om CVE-2022-30525 te detecteren. Het Sjabloon is beschikbaar op de GitHub van de auteur.

Een andere onderzoeker, BlueNinja, eeft ook een script gemaakt om de ongeauthenticeerde remote command injection in Zyxel firewall- en VPN-producten te detecteren en heeft dit gepubliceerd op GitHub.

 

Bron: Bleepingcomputer.com

We zijn verhuisd

ALLCORE_BLACK_TRANSPARANT logo

Beste Klant,

We zijn verhuisd! We zijn nu beschikbaar op onze nieuwe locatie:

Vriesenrot 11 – 9200 Dendermonde

– Het ALLCORE-IT Team –