黑客已经开始利用最近修补的严重漏洞,追踪为CVE-2022-30525,影响Zyxel防火墙和企业VPN设备。成功的利用将允许远程攻击者无需身份验证即可远程注入任意命令,从而允许设置反向shell。该漏洞是由Rapid7的首席安全研究员JacobBaines发现的,他在一份简短的技术说明中解释了如何在攻击中利用该漏洞。JacobBaines说:“命令以nobody用户身份执行。此漏洞通过利用/ztp/cgi-bin/handlerUR来实现,这将允许未经身份验证的攻击者进入lib_wan_settings.py中的os.system。”研究人员指出,攻击者可以使用纯bashGTFOBin创建反向shell。Zyxel于5月12日发布了针对CVE-2022-30525(严重性评分9.8)的安全公告,宣布已为受影响的型号发布修复程序,并敦促管理员安装最新更新。安全问题的严重性及其可能造成的损害足以让美国国家安全局网络安全主管RobJoyce警告用户该漏洞,并鼓励他们在易受攻击时更新设备固件版本。从13日开始,非营利组织ShadowserverFoundation的安全专家报告称发现了针对CVE-2022-30525的漏洞利用尝试。目前尚不清楚这些尝试是否是恶意的,或者研究人员是否只是在映射当前受到攻击的Zyxel设备。Rapid7在互联网上扫描了易受攻击的Zyxel产品,并使用Shodan搜索平台发现了超过15,000件联网硬件。Shadowserver运行了自己的扫描,并在开放网络上发现了至少20,800款Zyxel防火墙型号可能受到该漏洞的影响。该小组通过唯一IP地址对硬件进行统计,发现其中超过15000个是USG20-VPN和USG20W-VPN型号,专为“跨分支机构和连锁店的VPN连接”而设计。设备最脆弱的地区是欧盟,法国和意大利的数量最多。鉴于漏洞的严重性和设备的普及,安全研究人员发布了可以帮助管理员检测安全漏洞和利用企图的代码。作为Telefónicaredteam的一部分,z3r00t创建并发布了用于检测CVE-2022-30525的Nuclei漏洞扫描解决方案的模板。模板可从作者的GitHub获得。另一位研究人员BlueNinja也创建了一个脚本来检测Zyxel防火墙和VPN产品中未经身份验证的远程命令注入,并将其发布在GitHub上。参考来源:https://www.bleepingcomputer.com/news/security/hackers-are-exploiting-critical-bug-in-zyxel-firewalls-and-vpns/
