Af Eskil Sørensen, 23/05/23
En command injection-sårbarhed, der påvirker en række Zyxel-firewalls, kan snart blive udnyttet in-the-wild. Det skriver Helpnet Security efter at researchere fra Rapid7 har advaret om det i forbindelse med offentliggørelse af en teknisk analyse og et PoC-script.
Der er tale om en sårbarhed med id’et CVE-2023-28771, der har fået scoren 9,8 på CVSS-skalaen.
Sårbarheden påvirker Zyxel APT, USG FLEX og VPN firewalls, der kører versioner v4.60 til v5.35 af ZDL-firmwaren, og Zyxel ZyWALL/USG gateways/firewalls, der kører ZLD v4.60 til v4.73.
Firewall-enhederne udfører bl.a. overvågning og styring af netværkstrafik og har mulighed for inspektion af VPN- og SSL, ligesom de tilbyder yderligere beskyttelse mod malware og andre trusler.
Sårbarheden opstår som følge af forkert håndtering af fejlmeddelelser. Den kan udløses ved at sende en specielt udformet UDP-pakke til port 500 i sårbare enheders WAN-grænseflade. Dette gør det muligt for angribere at opnå OS-kommandoer som root-bruger. Deraf betegnelsen på sårbarheden ’command injection’.
Helpnet Security skriver, at sårbarheden er let at udnytte, og vellykket udnyttelse afhænger ikke af forudgående godkendelse.
Der er ikke endnu rapporteret om udnyttelse af sårbarheden, men researcherne forventer at det vil ændre sig. Sårbarheden blev rettet af Zyxel i april 2023 med udgivelsen af ZLD v5.36 og ZLD v4.73 Patch 1.
Administratorer af sårbare enheder opfordres til at opgradere til den seneste firmwareopdatering så hurtigt som muligt.
Links:
https://www.helpnetsecurity.com/2023/05/22/cve-2023-28771/
https://attackerkb.com/topics/N3i8dxpFKS/cve-2023-28771/rapid7-analysis