Spécialisé dans les équipements réseau et de sécurité pour entreprises (switchs, passerelles, VPN, pare-feux, UTM...), le fabricant taïwanais Zyxel a publié un correctif à appliquer dès que possible. Dans son bulletin de sécurité, le fournisseur taïwanais remercie la société de services et de solutions cybersécurité Rapid7 de lui avoir signalé le 13 avril 2022, via son chercheur en sécurité Jake Baines, le problème relatif à la CVE-2022-30525, mais pointe cependant « une mauvaise communication lors du processus de coordination de la divulgation ». En fait, il s'avère que Zyxel a publié un correctif fin avril 2022 sans se coordonner avec les chercheurs, ni publier un avis ou réserver un CVE. Un temps de précieux perdu qui a manifestement profité aux acteurs malveillants pour exploiter cette faille dont la CVE n'a été publiée que le 12 mai 2022.

Rapid7 a publié un post détaillant le mode opératoire utilisé par des pirates pour exploiter cette faille, basée sur du retroengineering du correctif et l'utilisation d'un module Metasploit,. « Cette version du correctif revient à divulguer les détails des vulnérabilités, puisque les attaquants et les chercheurs peuvent en faire facilement le retroengineering pour connaître les détails précis de l'exploitation », ont indiqué les chercheurs en sécurité. Les pirates ont donc, si on se réfère à Shodan, potentiellement accès à plus de 16 000 équipements Zyxel vulnérables dans le monde dont 4 500 rien qu'en France qui en fait le pays le plus concerné devant l'Italie (4 400), les Etats-Unis (2 400), la Suisse (1 700) ou encore la Russie (854).

Une faille critique de type injection de commandes malveillantes au niveau OS

Le correctif ZLD V5.30 de Zyxel comble une faille critique de type injection de commandes malveillantes au niveau du système d'exploitation de plusieurs terminaux permettant à un attaquant de modifier des fichiers spécifiques, puis d'exécuter certaines commandes du système d'exploitation sur un terminal vulnérable. « Appliquez le correctif du fournisseur dès que possible. Si possible, activez les mises à jour automatiques du firmware. Désactivez l'accès WAN à l'interface Web d'administration du système », a expliqué Rapid7 qui a signalé cette faille à Zyxel.

Les équipements et versions concernés sont les suivants : les pare-feux et appliances de sécurité USG FLEX 100(W), 200, 500 et 700 avec firmware de v5.00 à v5.21 Patch 1, USG FLEX 50(W) avec firmware de v5.10 à v5.21 Patch 1, ainsi que USG20(W)-VPN avec firmware de v5.10 à v5.21 Patch 1. Sont aussi concernés les équipements de pare-feux ATP (firmware v5.10 à 5.21 Patch 1) et VPN (firmware v4.60 à 5.21 Patch 1). Découverte le mois dernier, la vuln référencée en tant que CVE-2022-30525 (score CVSS de 9.8) est d'ores et déjà exploitée, cela nécessite donc d'appliquer - on ne le répétera jamais assez - dès que possible le patch fournit par Zyxel.

Du code en renfort pour détecter la faille et les tentatives d'exploit

« Compte tenu de la gravité de la vulnérabilité et de la popularité des terminaux, les chercheurs en sécurité ont publié un code qui devrait aider les administrateurs à détecter la faille de sécurité et les tentatives d'exploitation », indique Bleeping Computer. « Faisant partie de la redteam de la société espagnole de télécommunications Telefónica, z3r00t a créé et publié un modèle pour la solution d'analyse de vulnérabilité Nuclei afin de détecter CVE-2022-30525. Le modèle est disponible sur le GitHub de l'auteur. Un autre chercheur, BlueNinja, a également créé un script pour détecter l'injection de commande à distance non authentifiée dans les produits de pare-feu et VPN Zyxel et l'a publié sur GitHub ».