黑客已開始利用最近修補(bǔ)的關(guān)鍵漏洞，漏洞編號(hào)為CVE-2022-30525，該漏洞會(huì)影響企業(yè)的 Zyxel防火墻和VPN設(shè)備。如成功利用則允許遠(yuǎn)程攻擊者在沒有身份驗(yàn)證的情況下遠(yuǎn)程注入任意命令，從而可以設(shè)置反向shell。該漏洞是由Rapid7的首席安全研究員Jacob Baines發(fā)現(xiàn)的，他在一份簡短的技術(shù)報(bào)告中解釋了如何在攻擊中利用該漏洞。Jacob Baines說，“命令以nobody用戶身份執(zhí)行。此漏洞通過利用/ztp/cgi-bin/handler UR，這會(huì)導(dǎo)致未經(jīng)驗(yàn)證的攻擊者在lib_wan_settings.py中輸入os.system?！毖芯咳藛T指出，攻擊者可以使用普通的bash GTFOBin建立反向shell 。

Zyxel于5月12日發(fā)布了針對(duì)CVE-2022-30525(嚴(yán)重嚴(yán)重性評(píng)分為 9.8)的安全公告，宣布 已針對(duì)受影響的型號(hào)發(fā)布了修復(fù)程序，并敦促管理員安裝最新更新。

安全問題的嚴(yán)重性及其可能導(dǎo)致的損害足以讓NSA網(wǎng)絡(luò)安全主管Rob Joyce警告用戶注意漏洞，并鼓勵(lì)他們?cè)谠O(shè)備固件版本易受攻擊時(shí)更新設(shè)備固件版本。

從13日開始，非營利組織Shadowserver Foundation的安全專家稱看到了針對(duì) CVE-2022-30525的利用嘗試。目前還不清楚這些嘗試是否是惡意的，還是僅僅是研究人員在繪制目前受到攻擊的Zyxel設(shè)備的地圖。

Rapid7在互聯(lián)網(wǎng)上掃描了易受攻擊的 Zyxel產(chǎn)品，并使用Shodan搜索平臺(tái)找到了15,000多個(gè)連接到互聯(lián)網(wǎng)的硬件。Shadowserver運(yùn)行了自己的掃描，并在開放網(wǎng)絡(luò)上發(fā)現(xiàn)了至少 20,800 個(gè)可能受該漏洞影響的Zyxel防火墻模型。該組織通過唯一 IP 地址對(duì)硬件進(jìn)行計(jì)數(shù)，發(fā)現(xiàn)其中超過15,000個(gè)是USG20-VPN和USG20W-VPN型號(hào)，而這些硬件專為“跨分支機(jī)構(gòu)和連鎖店的VPN連接”而設(shè)計(jì)。設(shè)備最易受攻擊的地區(qū)是歐盟，法國和意大利的數(shù)量最多。

鑒于漏洞的嚴(yán)重性和設(shè)備的流行，安全研究人員已經(jīng)發(fā)布了代碼，可以幫助管理員檢測(cè)安全漏洞和利用嘗試。作為西班牙電信公司Telefónica的redteam的一部分，z3r00t 創(chuàng)建并發(fā)布了用于檢測(cè) CVE-2022-30525 的 Nuclei 漏洞掃描解決方案的模板。模板可從作者的 GitHub 獲取。另一位研究員 BlueNinja也創(chuàng)建了一個(gè)腳本來檢測(cè)Zyxel防火墻和VPN產(chǎn)品中未經(jīng)身份驗(yàn)證的遠(yuǎn)程命令注入，并將其發(fā)布在 GitHub上。

參考來源：https://www.bleepingcomputer.com/news/security/hackers-are-exploiting-critical-bug-in-zyxel-firewalls-and-vpns/