Analis ancaman yang menemukan kerentanan yang memengaruhi beberapa produk Zyxel melaporkan bahwa perusahaan peralatan jaringan memperbaikinya melalui pembaruan diam yang dikeluarkan dua minggu lalu.
Lebih khusus lagi, peneliti keamanan di Rapid7 menemukan kelemahan tersebut, yang sekarang dilacak sebagai CVE-2022-30525 (skor CVSS v3: 9,8 – kritis), dan mengungkapkannya kepada Zyxel pada 13 April 2022.
Cacatnya adalah injeksi perintah jarak jauh yang tidak diautentikasi melalui antarmuka HTTP, yang memengaruhi firewall Zyxel yang mendukung Zero Touch Provisioning (ZTP). Versi firmware yang terpengaruh adalah ZLD5.00 hingga ZLD5.21 Patch 1.
CVE-2022-30525 berdampak pada model berikut:
USG FLEX 50, 50W, 100W, 200, 500, 700 menggunakan firmware 5.21 ke bawah
USG20-VPN dan USG20W-VPN menggunakan firmware 5.21 ke bawah
ATP 100, 200, 500, 700, 800 menggunakan firmware 5.21 dan di bawah
Produk ini biasanya digunakan di cabang kecil dan kantor pusat perusahaan untuk VPN, inspeksi SSL, perlindungan intrusi, keamanan email, dan pemfilteran web.
“Perintah dijalankan sebagai pengguna “bukan siapa-siapa”. Kerentanan ini dieksploitasi melalui /ztp/cgi-bin/handler URI dan merupakan hasil dari meneruskan input penyerang yang tidak bersih ke dalam metode os.system di lib_wan_settings.py,” jelas laporan Rapid 7.
“Fungsi yang rentan dipanggil terkait dengan perintah setWanPortSt. Seorang penyerang dapat menyuntikkan perintah sewenang-wenang ke dalam mtu atau parameter data.”
Zyxel mengkonfirmasi laporan dan validitas cacat dan berjanji untuk merilis pembaruan keamanan perbaikan pada Juni 2022, namun mereka merilis tambalan pada 28 April 2022, tanpa memberikan nasihat keamanan, detail teknis, atau panduan mitigasi kepada pelanggannya.
Hari ini, Rapid 7 menerbitkan laporan pengungkapannya bersama dengan modul Metasploit yang sesuai yang mengeksploitasi CVE-2022-30525 dengan menyuntikkan perintah di bidang MTU.
Peneliti yang menemukan cacat dan mengembangkan eksploitasi yang berfungsi untuk pengujian, Jake Baines, juga telah menerbitkan video demonstrasi berikut.
Konsekuensi khas dari serangan semacam itu adalah modifikasi file dan eksekusi perintah OS, yang memungkinkan pelaku ancaman mendapatkan akses awal ke jaringan dan menyebar secara lateral melalui jaringan.
“Firewall Zxyel yang terpengaruh oleh CVE-2022-30525 adalah apa yang biasanya kami sebut sebagai “poros jaringan”. Eksploitasi CVE-2022-30525 kemungkinan akan memungkinkan penyerang membangun pijakan di jaringan internal korban,” kata Rapid7 kepada BleepingComputer.
“Contoh nyata dari serangan semacam ini adalah serangan Phineas Fisher terhadap Tim Peretasan, di mana Fisher mengeksploitasi firewall/VPN yang menghadap internet.”
“Setelah Fisher memiliki akses penuh ke firewall/VPN, mereka dapat berpindah secara lateral ke sistem internal (misalnya database MongoDB, penyimpanan NAS, server Exchange).”
Karena detail teknis dari kerentanan telah dirilis dan sekarang didukung oleh Metasploit, semua admin harus segera memperbarui perangkat mereka sebelum pelaku ancaman mulai secara aktif mengeksploitasi kelemahan tersebut.
Rapid 7 melaporkan bahwa pada saat penemuan, setidaknya ada 16.213 sistem rentan yang terpapar ke internet, menjadikan kerentanan ini sebagai target yang menarik bagi pelaku ancaman.
Jika pembaruan ke versi terbaru yang tersedia tidak memungkinkan, Anda disarankan untuk setidaknya menonaktifkan akses WAN ke antarmuka web administratif produk yang terpengaruh.
Sumber: Bleeping Computer
