Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (U.S. Cybersecurity and Infrastructure Security Agency) hat am Montag zwei Sicherheitslücken, darunter den kürzlich bekannt gewordenen Fehler in Zyxel-Firewalls, in ihren „Known Exploited Vulnerabilities Catalog“ aufgenommen.
Die Schwachstelle mit der Bezeichnung CVE-2022-30525 wird mit dem Schweregrad 9.8 eingestuft und betrifft eine Befehlsinjektionslücke in bestimmten Versionen der Zyxel Firewall, die es einem nicht authentifizierten Angreifer ermöglichen könnte, beliebige Befehle auf dem zugrunde liegenden Betriebssystem auszuführen.
Betroffen sind folgende Geräte
USG FLEX 100, 100W, 200, 500, 700
USG20-VPN, USG20W-VPN
ATP 100, 200, 500, 700, 800 und
VPN-Serien
Das Problem, für das das taiwanesische Unternehmen Ende April Patches veröffentlicht hat (ZLD V5.30), wurde am 12. Mai nach einem koordinierten Offenlegungsprozess mit Rapid7 öffentlich bekannt.
Nur einen Tag später teilte die Shadowserver Foundation mit, dass sie erste Angriffe auf die Sicherheitslücke entdeckt hat. Die meisten der verwundbaren Geräte befinden sich in Frankreich, Italien, den USA, der Schweiz und Russland.
Ebenfalls von der CISA in den Katalog aufgenommen wurde CVE-2022-22947, eine weitere Code-Injection-Schwachstelle in Spring Cloud Gateway, die über eine speziell gestaltete Anfrage die beliebige Ausführung von außen auf einem entfernten Host ermöglichen könnte.
Die Schwachstelle wird im CVSS-Schwachstellenbewertungssystem mit 10 von 10 Punkten bewertet und wurde inzwischen in den Spring Cloud Gateway-Versionen 3.1.1 oder höher und 3.0.7 oder höher ab März 2022 behoben.