Nei giorni scorsi, Zyxel ha freso disponibile una patch per alcuni suoi modelli di firewall che va a risolvere una vulnerabilità critica, la quale potrebbe dare modo a un malintenzionato di ottenere l’accesso completo ai dispositivi e alle reti aziendali interne che invece dovrebbero essere protette dalle soluzione in essere.
Zyxel: scovata la falla CVE-2022-30525 con punteggio 9,8
Andando più in dettaglio, la falla è stata scoperta dai ricercatori di sicurezza di Rapid7 che ne hanno dato comunicazione a Zyxel il 13 aprile 2022. La vulnerabilità, siglata come CVE-2022-30525, viene classificata con un punteggio di 9,8.
La patch è stata resa disponibile il 28 aprile 2022, ma solo nelle scorse ore sono stati diramati l’avviso di sicurezza, tutti i dettagli tecnici riguardo il problema e le linee guida per l’applicazione e, dunque, se ne è data notizia. Nella giornata di ieri, infatti, il team di Rapid7 ha condiviso le informazioni relative alla vulnerabilità, assieme al modulo Metasploit che la sfrutta e a un video dimostrativo che è visibile di seguito.
Si tratta, esattamente, di un’iniezione di comandi da remoto non autenticati, sfruttando l’interfaccia HTTP. Ad essere interessati sono i firewall Zyxel che supportano Zero Touch Provisioning con le versioni di firmware da ZLD5.00 a ZLD5.21 Patch 1, ovvero i seguenti modelli: USG FLEX 50, 50W, 100W, 200, 500, 700 con firmware 5.21 e precedenti; USG20-VPN e USG20W-VPN con firmware 5.21 e precedenti; ATP 100, 200, 500, 700, 800 con firmware 5.21 e precedenti. Trattasi di apparecchi che vengono di norma utilizzati per applicazioni VPN, ispezione SSL, protezione dalle intrusioni, sicurezza delle e-mail e operazioni di filtraggio del traffico Web.