近日,Zyxel 已着手解决影响 Zyxel 防火墙设备的严重安全漏洞,该漏洞使未经身份验证的远程攻击者能够获得任意代码执行。
“某些防火墙版本的 CGI 程序中的命令注入漏洞可能允许攻击者修改特定文件,然后在易受攻击的设备上执行一些操作系统命令,” 该公司在周四发布的一份公告中表示。
网络安全公司 Rapid7于 2022 年 4 月 13 日发现并报告了该漏洞,该公司表示,该漏洞可能允许远程未经身份验证的对手以“无人”用户身份在受影响的设备上执行代码。
跟踪为CVE-2022-30525(CVSS 评分:9.8),该漏洞影响以下产品,补丁发布在 ZLD V5.30 版本中
USG FLEX 100(W)、200、500、700
USG FLEX 50(W) / USG20(W)-VPN
ATP系列,和VPN系列
Rapid 7 指出,至少有 16,213 台易受攻击的 Zyxel 设备暴露在互联网上,这使其成为威胁参与者进行潜在利用尝试的有利可图的攻击媒介。
这家网络安全公司还指出,Zyxel 在 2022 年 4 月 28 日默默地发布了解决该问题的修复程序,而没有发布相关的常见漏洞和披露 ( CVE ) 标识符或安全公告。Zyxel 在其警报中将此归咎于“披露协调过程中的沟通不畅”。
知名网络安全专家郭盛华透露:“无声的漏洞修补往往只会帮助积极的攻击者,而让防御者对新发现的问题的真正风险一无所知。”
该公告发布之际,Zyxel 在其 VMG3312 中解决了三个不同的问题,包括命令注入 ( CVE-2022-26413 )、缓冲区溢出 ( CVE-2022-26414 ) 和本地权限提升 ( CVE-2022-0556 ) 漏洞-T20A 无线路由器和 AP 配置器,可能导致任意代码执行。(欢迎转载分享)