Gün geçmiyor ki internet dünyasında yeni bir zafiyet ile karşılaşmayalım.
Kötü niyetli kişiler şimdi de Zyxel’in firewall ve VPN cihazlarını etkileyen kritik güvenlik açığını istismar ediyor. Açık, saldırganların kimlik doğrulaması olmadan uzaktan rastgele komutlar enjekte edebilmesine imkan veriyor. Zyxel zafiyetle ilgili yamaları yakın zamanda yayımlamıştı…
Rapit7 tarafından rapor edilen CVE-2022-30525 kodlu zafiyet 9.8’lik CVSS puanıyla “kritik” öneme sahip. Tehdit aktörlerinin kurumsal ağlara ve cihazlara tam erişim elde edebilmelerine imkan tanıyan istismara dair Rapid7’de yayımlanan makalede istismarın detaylarına dair teknik analiz de paylaşıldı.
“ Reverse Shell” Oluşturmayı Mümkün Kılıyor
Reverse Shell saldırı yapılan sistem ile ters bağlantı kurarak, hedef sistem ile saldırgan arasında bir oturum oluşturmaya yarar. Hedef makine shell üzerinden saldırganın makinesi ile iletişim kurduğunda hedef bilgisayar ele geçirilmiş oluyor.
Analizde hedef makinede bir shell oluştururuluyor. nc -lvnp 1270 komutu ile 1270 portu dinlemeye alınıyor. Hedef (kurban) bilgisayarı 1270 portundan saldırganın makinesine bağlandığında artık hedef makine üzerinde komut yürütülebiliyor.
Zafiyet Hangi Ürünleri Etkiliyor?
Zyxel, yayımladığı güvenlik tavsiyesinde zafiyetten etkilenen ürünleri ve yamaları kullanıcılarıyla paylaştı. Buna göre etkilenen cihazlar şu şekilde:
Etkilenen model | Etkilenen firmware versiyonu | Yama kullanılabilirliği |
---|---|---|
USG FLEX 100(W), 200, 500, 700 | ZLD V5.00 through ZLD V5.21 Patch 1 | ZLD V5.30 |
USG FLEX 50(W) / USG20(W)-VPN | ZLD V5.10 through ZLD V5.21 Patch 1 | ZLD V5.30 |
ATP series | ZLD V5.10 through ZLD V5.21 Patch 1 | ZLD V5.30 |
VPN series | ZLD V4.60 through ZLD V5.21 Patch 1 | ZLD V5.30 |
Rapid7 araştırmacıları, savunmasız Zyxel ürünleri için Shodan aracılığıyla yaptıkları taramada, internete bağlı 17.000’e yakın cihaz tespit ettiklerine dair ekran alıntısı paylaştılar.