Detección de CVE-2022-30525: Vulnerabilidad Crítica Permite Ataques de Inyección de Comandos

Un error recientemente descubierto en los productos de Zyxel pone en peligro a decenas de miles de usuarios en Europa y EE. UU. La vulnerabilidad crítica que afecta a las series ATP, VPN y USG FLEX de cortafuegos empresariales de Zyxel está identificada como CVE-2022-30525, con un puntaje de gravedad de 9.8 CVSS. La vulnerabilidad permite a los hackers ejecutar código arbitrario sin necesidad de autenticación previa en el dispositivo comprometido.

Detectar CVE-2022-30525

Para identificar oportunamente posibles brechas del sistema mediante la explotación de la falla CVE-2022-30525, descarga las reglas Sigma desarrolladas por desarrolladores experimentados de Threat Bounty Kaan Yeniyol and Nattatorn Chuensangarun para detectar oportunamente comportamientos y patrones sospechosos:

Posible acceso inicial por explotación de inyección de comandos remota no autenticada en firewall de Zyxel [CVE-2022-30525] (vía proxy)

Posible acceso inicial por explotación de inyección de comandos remota no autenticada en firewall de Zyxel [CVE-2022-30525] (vía servidor web)

Los investigadores de seguridad y cazadores de amenazas pueden aprovechar la rica biblioteca de contenido de detección de SOC Prime para mejorar su visibilidad de seguridad y elevar sus rutinas de caza. ¿Te entusiasma crear contenido de detección y compartirlo con la comunidad de más de 23,000 profesionales de seguridad? ¡Únete a nuestro Programa Threat Bounty!

Ver detecciones Unirse a Threat Bounty

Descripción de CVE-2022-30525

El investigador de seguridad de Rapid7, Jake Baines, publicó una advertencia sobre el CVE-2022-30525, elucidando los detalles sobre este error crítico en los productos de firewall y VPN de Zyxel. El error permite una inyección de comandos remota con insuficiente o ninguna autenticación previa cuando los actores de amenazas lanzan ataques a través de la interfaz HTTP de un dispositivo comprometido.

Zyxel lanzó una corrección necesaria del error en abril, pero no logró notificar oportunamente a los usuarios sobre esta falla en sus productos de cortafuegos. El equipo de investigación de Rapid7 abordó el problema públicamente el 12 de mayo de 2022, con más casos de explotación acumulándose. Los investigadores informan que los adversarios aprovechan la vulnerabilidad CVE-2022-30525 para ejecutar comandos arbitrarios y comprometer redes internas.

Teniendo en cuenta el número de dispositivos Zyxel que se convirtieron en objetivos blandos debido a esta vulnerabilidad (más de 20,000), así como el hecho de que el proveedor publicita esos productos para necesidades corporativas, se insta a los usuarios a tomar medidas inmediatas o tendrán que enfrentar las consecuencias por esos agujeros de seguridad muy pronto.

Explora la plataforma SOC Prime para abrir nuevos horizontes en tu desarrollo profesional en la industria de la seguridad. Caza instantáneamente las últimas amenazas dentro de más de 25 tecnologías EDR, SIEM y XDR compatibles, aumenta la conciencia de todos los últimos ataques, mapea las detecciones a MITRE ATT&CK, mejora la resistencia a amenazas en evolución y optimiza tus operaciones SOC.