Il ricercatore Jacob Baines di Rapid7 ha scoperto una grave vulnerabilità in alcuni firewall Zyxel. Il produttore taiwanese ha prontamente rilasciato le patch per risolvere il problema. Tuttavia sono stati rilevati diversi attacchi che sfruttano il bug, in quanto ci sono migliaia di modelli non aggiornati, molti dei quali in Italia e Francia.
quasi 21.000 firewall Zyxel vulnerabili
La vulnerabilità, identificata come CVE-2022-30525, permette di eseguire codice remoto sui dispositivi senza autenticazione (utente nobody). Un malintenzionato potrebbe iniettare comandi arbitrari nei parametri mtu
e data
di un metodo in lib_wan_settings.py
. Per sfruttare il bug è già disponibile uno specifico modulo di Metasploit. Le patch sono state distribuite da Zyxel a fine aprile, ma il corrispondente bollettino di sicurezza è stato pubblicato il 12 maggio.
Il ricercatore di Rapid7 sottolinea che questo comportamento rappresenta un rischio per gli utenti, in quanto non sono avvisati in tempo. I cybercriminali potrebbero effettuare il reverse engineering della patch, prima dell’installazione dell’aggiornamento, considerato inoltre che gli utenti possono aver disattivato gli update automatici del firmware. Gli esperti della Shadowserver Foundation hanno infatti rilevato diversi exploit attivi.
We see at least 20 800 of the potentially affected Zyxel firewall models (by unique IP) accessible on the Internet. Most popular are USG20-VPN (10K IPs) and USG20W-VPN (5.7K IPs).
Most of the CVE-2022-30525 affected models are in the EU – France (4.5K) and Italy (4.4K). pic.twitter.com/Wh7I8JCvVv
— The Shadowserver Foundation (@Shadowserver) May 15, 2022
Tramite una ricerca con Shodan è possibile trovare quasi 21.000 firewall ancora vulnerabili e accessibili da Internet. La maggioranza di essi è in Italia (circa 4.400) e in Francia (circa 4.500). Gli utenti devono installare al più presto le patch rilasciate da Zyxel, attivare gli aggiornamenti automatici e disattivare l’accesso WAN all’interfaccia web di amministrazione.