Zyxel hat eine kritische Sicherheitslücke in Zyxel Firewall-Geräten geschlossen, die es nicht authentifizierten Angreifern ermöglicht, beliebigen Code auszuführen.
„Eine Command-Injection-Schwachstelle im CGI-Programm einiger Firewall-Versionen könnte es einem Angreifer ermöglichen, bestimmte Dateien zu verändern und dann einige Betriebssystembefehle auf einem anfälligen Gerät auszuführen“, so das Unternehmen in einem am Donnerstag veröffentlichten Advisory.
Die Cybersecurity-Firma Rapid7, die die Schwachstelle am 13. April 2022 entdeckte und meldete, erklärte, dass die Schwachstelle es einem nicht authentifizierten Angreifer ermöglichen könnte, auf den betroffenen Geräten Code als Benutzer „nobody“ auszuführen.
Die Schwachstelle wird als CVE-2022-30525 (CVSS-Score: 9.8) bezeichnet und betrifft die folgenden Produkte, für die Patches in der Version ZLD V5.30 veröffentlicht wurden –
USG FLEX 100(W), 200, 500, 700
USG FLEX 50(W) / USG20(W)-VPN
ATP-Serie, und
VPN-Serie
Rapid 7 stellte fest, dass mindestens 16.213 anfällige Zyxel-Geräte dem Internet ausgesetzt sind, was sie zu einem lukrativen Angriffsvektor für Bedrohungsakteure macht, um potenzielle Angriffe zu inszenieren.
Die Cybersecurity-Firma wies außerdem darauf hin, dass Zyxel am 28. April 2022 stillschweigend Korrekturen zur Behebung des Problems veröffentlicht hat, ohne eine CVE-Kennung (Common Vulnerabilities and Exposures) oder einen Sicherheitshinweis zu veröffentlichen. Zyxel begründete dies in seiner Warnung mit einem „Kommunikationsfehler während des Koordinationsprozesses für die Veröffentlichung“.
„Das stille Patchen von Schwachstellen hilft nur aktiven Angreifern und lässt die Verteidiger über das wahre Risiko neu entdeckter Schwachstellen im Unklaren“, sagte Rapid7-Forscher Jake Baines.
Die Meldung wurde veröffentlicht, nachdem Zyxel drei verschiedene Schwachstellen in seinem VMG3312-T20A Wireless Router und AP Configurator behoben hat, die zur Ausführung von beliebigem Code führen können, darunter eine Befehlsinjektion (CVE-2022-26413), ein Pufferüberlauf (CVE-2022-26414) und eine lokale Privilegienerweiterung (CVE-2022-0556).