image

Kritiek lek in Zyxel-firewalls maakt remote code execution mogelijk

vrijdag 13 mei 2022, 15:48 door Redactie, 9 reacties

Een kritieke kwetsbaarheid in firewalls van fabrikant Zyxel maakt het voor een ongeauthenticeerde aanvaller mogelijk om willekeurige code op het apparaat uit te voeren. Zyxel heeft updates uitgerold om het probleem te verhelpen, maar inmiddels is er ook exploitcode beschikbaar. De impact van de kwetsbaarheid, aangeduid als CVE-2022-30525, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Zyxel roept gebruikers met klem op om de patch te installeren.

Het probleem wordt veroorzaakt doordat de beheerdersinterface invoer van gebruikers niet goed controleert, waardoor het mogelijk is voor een aanvaller om willekeurige commando's op de firewall uit te voeren. Om de aanval op afstand uit te voeren moet de beheerdersinterface wel vanaf het internet toegankelijk zijn. Volgens securitybedrijf Rapid7, dat de kwetsbaarheid ontdekte, zijn erop internet meer dan 16.000 kwetsbare Zyxel-modellen te vinden.

Het gaat om de USG FLEX 100, 100W, 200, 500 en 700, USG20-VPN en USG20W-VPN en ATP 100, 200, 500, 700 en 800. Rapid7 waarschuwde Zyxel op 13 april en stelde voor om de details van het beveiligingslek op 21 juni openbaar te maken. Op 28 april bracht Zyxel een firmware-update uit, zonder dit met Rapid7 te coördineren. Daarop nam het securitybedrijf contact op met Zyxel. De firewallfabrikant vroeg vervolgens een CVE-nummer aan om het lek mee te identificeren en ging akkoord met een nieuwe datum om de details te openbaren, wat gisteren was.

Rapid7 is de ontwikkelaar van Metasploit, een opensourceframework voor het testen van de beveiliging van systemen en netwerken, dat geliefd is bij penetratietesters en securityprofessionals. Voor de kwetsbaarheid in de Zyxel-firewalls is nu een exploitmodule beschikbaar gemaakt. Organisaties worden dan ook opgeroepen om de update zo snel mogelijk te installeren en de beheerdersinterface niet vanaf internet toegankelijk te maken.

Reacties (9)
13-05-2022, 18:27 door Anoniem
Een firewall.... Die met management aan het internet hangt...

Echt gekker moet het niet worden :):)
13-05-2022, 18:41 door spatieman
"met klem om te patchen"

De gemiddelde IT'r: Mwha, komt wel,
13-05-2022, 20:27 door Anoniem
Dat merk, dat deze week nog de pers haalde omdat ze door de Duitse BSI gecertificeerd waren op cybersecurity?
13-05-2022, 21:39 door Anoniem
Is het mij of is het aantal backdoors in westerse security appliances wel erg groot. Firewall, load alancers, (reverse) proxies enz...
Cleanup van NSA voordat de russen ze gebruiken?
14-05-2022, 00:23 door Anoniem
Door spatieman: "met klem om te patchen"

De gemiddelde IT'r: Mwha, komt wel,

Typisch antwoord voor een "gemiddelde IT'r", nietwaar?
14-05-2022, 10:37 door Anoniem
Door Anoniem: Dat merk, dat deze week nog de pers haalde omdat ze door de Duitse BSI gecertificeerd waren op cybersecurity?
Tja een gecertificeerd product kan natuurlijk niet op tegen human stupidity. Die zal niet standaard zijn beheerpaneel aan het internet tonen....
14-05-2022, 11:20 door Anoniem
Door Anoniem:
Door Anoniem: Dat merk, dat deze week nog de pers haalde omdat ze door de Duitse BSI gecertificeerd waren op cybersecurity?
Tja een gecertificeerd product kan natuurlijk niet op tegen human stupidity. Die zal niet standaard zijn beheerpaneel aan het internet tonen....
Ja ik geloof dat dit ook een van de vereisten van BSI was (ik ga dat document niet nog een keer lezen).
Maar beter zou zijn om die mogelijkheid gewoon helemaal niet in het product in te bouwen.
Daar weten ze bij BIG5 ook alles van.
Managament via een webinterface op internet... gewoon NIET.
14-05-2022, 11:32 door Anoniem
Ik snap die 'pruts' bedrijfjes niet, proberen zelf iets in elkaar te flansen, terwijl er os alternatieven zijn die 100x beter zijn.
14-05-2022, 13:08 door Anoniem
Door Anoniem:
Door Anoniem: Dat merk, dat deze week nog de pers haalde omdat ze door de Duitse BSI gecertificeerd waren op cybersecurity?
Tja een gecertificeerd product kan natuurlijk niet op tegen human stupidity. Die zal niet standaard zijn beheerpaneel aan het internet tonen....

Om eerlijk te zijn : het is toch om te huilen dat of all products een *firewall* zichzelf niet afdoende kan beveiligen ?

Het is normaal om te verwachten dat _een firewall_ inderdaad Internet facing mag zijn .
En dat je erop of erdoor kunt met de juiste credentials en een zwik encryptie .

Net zo goed als dat je een IPSec daemon, of een OpenVPN daemon (al of niet verpakt in "een VPN appliance" ) "aan het Internet" moet kunnen hangen.

Dat allerlei vage embedded controllertjes niet geschikt zijn om zelf Internet-facing te zijn , alla - maar van een firewall verwacht je veel beter.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.