Злоумышленники используют уязвимость в межсетевых экранах Zyxel всего через день после ее раскрытия
Попытки эксплуатации недавно раскрытой уязвимости CVE-2022-30525 в межсетевых экранах Zyxel начались всего через день после того, как стало известно о ее существовании. 12 мая компании Rapid7 и Zyxel рассказали пользователям о CVE-2022-30525, которой подвержены межсетевые экраны Zyxel серий ATP, VPN и USG FLEX. По словам специалистов, уязвимость может быть использована удаленным неавторизованным злоумышленником для выполнения произвольного кода от имени пользователя "nobody".
Rapid7 сообщила Zyxel об уязвимости в апреле, после чего она была быстро исправлена с выходом ZLD 5.30. Однако, Zyxel не проинформировала клиентов об уязвимости и связанных с ней рисках, пока Rapid7 не опубликовала свои исследования 12 мая, желая помочь специалистам по кибербезопасности из разных компаний как можно скорее исправить CVE-2022-30525.
Сразу же после этого начали поступать сообщения от Shadowserver Foundation – организация заметила попытки использования уязвимости злоумышленниками. Фонд выявил около 21 000 потенциально уязвимых межсетевых экранов, расположенных в основном во Франции, Италии, США и Швейцарии. В это время Rapid7 обнаружила около 15 000 уязвимых устройств.
Увидев сообщения от Shadowserver, директор по кибербезопасности АНБ (агентство национальной безопасности США) Роб Джойс в своем Twitter предупредил организации о CVE-2022-30525 и посоветовал им как можно скорее применить обновления безопасности в межсетевых экранах.
Никакой подробной информации о попытках использования уязвимости не предоставлено, но были опубликованы доказательства существования эксплоитов, нацеленных на эту уязвимость, а также open-source инструменты для обнаружения попыток использования CVE-2022-30525.
Мы совсем недавно писали про эту уязвимость. Она позволяет хакерам удаленно захватить контроль над десятками тысяч межсетевых экранов.