Vulnerabilità nei firewall Zyxel: attacchi in corso

Vulnerabilità nei firewall Zyxel: attacchi in corso

Sono stati rilevati attacchi che sfruttano la vulnerabilità dei firewall Zyxel, sui quali non è stata ancora installata l'ultima versione del firmware.
Vulnerabilità nei firewall Zyxel: attacchi in corso
Sono stati rilevati attacchi che sfruttano la vulnerabilità dei firewall Zyxel, sui quali non è stata ancora installata l'ultima versione del firmware.

Il ricercatore Jacob Baines di Rapid7 ha scoperto una grave vulnerabilità in alcuni firewall Zyxel. Il produttore taiwanese ha prontamente rilasciato le patch per risolvere il problema. Tuttavia sono stati rilevati diversi attacchi che sfruttano il bug, in quanto ci sono migliaia di modelli non aggiornati, molti dei quali in Italia e Francia.

quasi 21.000 firewall Zyxel vulnerabili

La vulnerabilità, identificata come CVE-2022-30525, permette di eseguire codice remoto sui dispositivi senza autenticazione (utente nobody). Un malintenzionato potrebbe iniettare comandi arbitrari nei parametri mtu e data di un metodo in lib_wan_settings.py. Per sfruttare il bug è già disponibile uno specifico modulo di Metasploit. Le patch sono state distribuite da Zyxel a fine aprile, ma il corrispondente bollettino di sicurezza è stato pubblicato il 12 maggio.

Il ricercatore di Rapid7 sottolinea che questo comportamento rappresenta un rischio per gli utenti, in quanto non sono avvisati in tempo. I cybercriminali potrebbero effettuare il reverse engineering della patch, prima dell’installazione dell’aggiornamento, considerato inoltre che gli utenti possono aver disattivato gli update automatici del firmware. Gli esperti della Shadowserver Foundation hanno infatti rilevato diversi exploit attivi.

Tramite una ricerca con Shodan è possibile trovare quasi 21.000 firewall ancora vulnerabili e accessibili da Internet. La maggioranza di essi è in Italia (circa 4.400) e in Francia (circa 4.500). Gli utenti devono installare al più presto le patch rilasciate da Zyxel, attivare gli aggiornamenti automatici e disattivare l’accesso WAN all’interfaccia web di amministrazione.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
16 mag 2022
Link copiato negli appunti