Erkennung von CVE-2022-30525: Kritische Sicherheitslücke ermöglicht Befehlsinjektionsangriffe

Ein neu entdeckter Fehler in Zyxel-Produkten gefährdet Zehntausende von Nutzern in Europa und den USA. Die kritische Sicherheitslücke, die Zyxels ATP-Serie, VPN-Serie und USG FLEX-Serie von Unternehmensfirewalls betrifft, wird als CVE-2022-30525 verfolgt und hat einen Schweregrad von 9.8 CVSS. Die Schwachstelle eröffnet Hackern die Möglichkeit, beliebigen Code ohne vorherige Authentifizierung auf dem kompromittierten Gerät auszuführen.

Erkennen Sie CVE-2022-30525

Um mögliche Systemverletzungen durch die Ausnutzung der CVE-2022-30525-Schwachstelle rechtzeitig zu erkennen, laden Sie Sigma-Regeln herunter, die von erfahrenen Threat Bounty-Entwicklern entwickelt wurden Kaan Yeniyol and Nattatorn Chuensangarun um auffällige Verhaltensweisen und Muster rechtzeitig zu erkennen:

Möglicher anfänglicher Zugriff durch Ausnutzung der Zyxel-Firewall-Unauthentifizierten Fernsteuerungseinschleusung [CVE-2022-30525] (über Proxy)

Möglicher anfänglicher Zugriff durch Ausnutzung der Zyxel-Firewall-Unauthentifizierten Fernsteuerungseinschleusung [CVE-2022-30525] (über Webserver)

Sicherheitsforscher und Bedrohungsjäger können die umfangreiche Bibliothek von Erkennungsinhalten von SOC Prime nutzen, um ihre Sicherheitsübersicht zu verbessern und ihre Jagdroutinen zu optimieren. Begeistert davon, Erkennungsinhalte zu erstellen und sie mit der Gemeinschaft von über 23.000 Sicherheitsprofis zu teilen? Machen Sie mit bei unserem Threat Bounty-Programm!

Erkennungen anzeigen Threat Bounty beitreten

CVE-2022-30525 Beschreibung

Der Sicherheitsforscher Jake Baines von Rapid7 veröffentlichte ein Beratungsschreiben zum CVE-2022-30525, das die Details dieses kritischen Fehlers in Zyxel-Firewall- und VPN-Produkten erläutert. Der Fehler ermöglicht eine Remote-Befehlsinjektion mit unzureichender oder keiner vorherigen Authentifizierung, wenn Bedrohungsakteure Angriffe über die HTTP-Schnittstelle eines kompromittierten Geräts starten.

Zyxel veröffentlichte im April einen notwendigen Bugfix, informierte jedoch die Nutzer nicht rechtzeitig über diesen Fehler in ihren Firewall-Produkten. Das Forschungsteam von Rapid7 machte das Problem am 12. Mai 2022 öffentlich, wobei sich weitere Ausbeutungsfälle entwickelten. Forscher berichten, dass Gegner die Schwachstelle CVE-2022-30525 nutzen, um beliebige Befehle auszuführen und interne Netzwerke zu kompromittieren.

Unter Berücksichtigung der Anzahl der Zyxel-Geräte, die aufgrund dieser Schwachstelle zu leichten Zielen wurden (über 20.000), sowie der Tatsache, dass der Anbieter diese Produkte für Unternehmenszwecke vermarktet, wird den Nutzern dringend geraten, sofortige Maßnahmen zu ergreifen, oder sie müssen sich den Konsequenzen dieser Sicherheitslücken sehr bald stellen.

Erkunden Sie die SOC Prime Plattform um neue Horizonte in Ihrer beruflichen Entwicklung in der Sicherheitsbranche zu eröffnen. Führen Sie sofort die Suche nach den neuesten Bedrohungen innerhalb von mehr als 25 unterstützten EDR, SIEM und XDR-Technologien durch, steigern Sie das Bewusstsein für alle neuesten Angriffe, ordnen Sie Erkennungen MITRE ATT&CK zu, verbessern Sie die Widerstandsfähigkeit gegen sich entwickelnde Bedrohungen und optimieren Sie Ihre SOC-Operationen.