Een lek in firewalls van Zyxel wordt actief misbruikt. Er is een patch beschikbaar, die administrators zo snel mogelijk moeten installeren.
Beveiligingsonderzoekers van Rapid7 ontdekten een stevige bug in firewalls van Zyxel. Die laat aanvallers toe om zonder authenticatie vanop afstand code uit te voeren. Toestellen in de VPN, ATP en Flex-reeks zijn kwetsbaar voor de bug, die de designatie CVE-2022-30525 mee kreeg. Concreet gaat het om volgende hardware:
- USG Flex 100, 100W, 200, 500 en 700 (Firmware ZLD5.00 tot ZLD5.21 Patch 1)
- USG20-VPN, USG20W-VPN (Firmware ZLD5.10 tot ZLD5.21 Patch 1)
- ATP 100, 200, 500, 700 en 800 (Firmware ZLD5.10 tot ZLD5.21 Patch 1)
Veel potentiële slachtoffers
Het probleem treft zo enkel toestellen die Zero Touch Provisioning ondersteunen. De bug situeert zich in de HTTP-interface voor administrators, waar de software van Zyxel input onvoldoende schoonmaakt. Dat geeft een aanvaller de mogelijkheid om zelf code te injecteren en uit te voeren als de nobody-gebruiker. De getroffen hardware wordt gebruikt door kmo’s en grote ondernemingen. Al minstens 20.000 toestellen wereldwijd zouden kwetsbaar zijn.
Zyxel lanceerde al op 28 april een patch. Sinds vorige week zouden aanvallers het lek actief misbruiken in het wild. Eigenaars van een getroffen Zyxel-oplossing mogen daarom niet wachten met de installatie van de patch.
Tweede lek op korte tijd
Het is niet de eerste keer dat firewalls van Zyxel getroffen worden door een ernstig lek. Begin april bleek dat heel wat toestellen kwetsbaar waren voor een ander gevaarlijk lek met een CVE-score van 9,8. Dat liet aanvallers toe om authenticatie te omzeilen en als administrator aan de slag te gaan op de firewalls van de fabrikant.