黑客已开始利用最近修补的关键漏洞,即 CVE-2022-30525,该漏洞会影响企业的 Zyxel 防火墙和 VPN 设备。
成功利用允许远程攻击者在没有身份验证的情况下远程注入任意命令,从而可以设置反向 shell。
获取外壳
该漏洞是由 Rapid7 的首席安全研究员Jacob Baines发现的,他在一份简短的技术报告中解释了如何在攻击中利用该漏洞。Metasploit 渗透测试框架中添加了一个模块。
“命令以无人用户身份执行。此漏洞通过 /ztp/cgi-bin/handler URI 被利用,并且是将未经处理的攻击者输入传递到 lib_wan_settings.py 中的 os.system 方法的结果” - Jacob Baines
研究人员指出,攻击者可以使用普通的 bash GTFOBin建立反向 shell 。
资料来源:Rapid7
Zyxel 于 5 月 12 日发布了针对 CVE-2022-30525(严重严重性评分为 9.8)的安全公告,宣布 已针对受影响的型号发布了修复程序, 并敦促管理员安装最新更新:
安全问题的严重性及其可能导致的损害足以让 NSA 网络安全主管Rob Joyce 警告用户注意漏洞,并鼓励他们在设备固件版本易受攻击时更新设备固件版本。
从 13 日星期五开始,非营利组织Shadowserver Foundation的安全专家报告称看到了针对 CVE-2022-30525 的利用尝试。
目前尚不清楚这些努力是否是恶意的,或者只是研究人员正在努力绘制当前暴露于对手攻击的 Zyxel 设备。
Rapid7 在互联网上扫描了易受攻击的 Zyxel 产品,并使用 Shodan 搜索平台找到了 15,000 多个连接到互联网的硬件。
资料来源:Rapid7
Shadowserver 运行了自己的扫描,并 在开放网络上发现了至少 20,800 个可能受该漏洞影响的 Zyxel 防火墙模型。
该组织通过唯一 IP 地址对硬件进行计数,发现其中超过 15,000 个是 USG20-VPN 和 USG20W-VPN 型号,专为“跨分支机构和连锁店的 VPN 连接”而设计。
设备最易受攻击的地区是欧盟,法国和意大利的数量最多。
资料来源:Shadowserver 基金会
检测利用尝试
鉴于漏洞的严重性和设备的流行,安全研究人员已经发布了代码,可以帮助管理员检测安全漏洞和利用尝试。
作为西班牙电信公司 Telefónica 的 redteam 的一部分, z3r00t 创建并发布了用于检测 CVE-2022-30525 的 Nuclei 漏洞扫描解决方案的模板。模板 可从作者的 GitHub 获取
另一位研究员 BlueNinja也创建了一个脚本来检测 Zyxel 防火墙和 VPN 产品中未经身份验证的远程命令注入,并将 其发布在 GitHub 上。
推荐阅读
免费试用尝鲜
贴心会员服务
服务可用性
数据安全保障
全年不间断在线
工作时间:早上9:00-下午6:30
河南快米云网络科技有限公司
公安备案编号:41010302002363
Copyright © 2010-2023 All Rights Reserved. 地址:河南自由贸易区开封片区经济开发区宋城路122号
