CVE-2022-30525 Detection: Critical Vulnerability Allows for Command Injection Attacks

Un bug nouvellement découvert dans les produits Zyxel met en danger des dizaines de milliers d’utilisateurs en Europe et aux États-Unis. La vulnérabilité critique affectant les séries ATP, VPN et USG FLEX de Zyxel est suivie sous le numéro CVE-2022-30525, avec un score de gravité de 9,8 CVSS. La vulnérabilité ouvre la voie aux hackers pour exécuter du code arbitraire sans authentification préalable sur l’appareil compromis.

Détecter CVE-2022-30525

Pour identifier en temps opportun les violations possibles du système à travers l’exploitation de la faille CVE-2022-30525, téléchargez les règles Sigma développées par des développeurs expérimentés de Threat Bounty Kaan Yeniyol and Nattatorn Chuensangarun pour détecter en temps opportun des comportements et des motifs suspects :

Accès initial possible par exploitation de l’injection de commande à distance non authentifiée du pare-feu Zyxel [CVE-2022-30525] (via proxy)

Accès initial possible par exploitation de l’injection de commande à distance non authentifiée du pare-feu Zyxel [CVE-2022-30525] (via serveur web)

Les chercheurs en sécurité et les chasseurs de menaces peuvent tirer parti de la riche bibliothèque de contenu de détection de SOC Prime pour améliorer leur visibilité en matière de sécurité et renforcer leurs routines de chasse. Vous êtes passionné par la création de contenu de détection et par le partage avec la communauté de plus de 23 000 professionnels de la sécurité ? Rejoignez notre Programme Threat Bounty !

Voir les Détections Rejoindre Threat Bounty

Description CVE-2022-30525

Le chercheur en sécurité de Rapid7, Jake Baines, a publié un avis concernant le CVE-2022-30525, expliquant les détails de ce bug critique dans les produits pare-feu et VPN de Zyxel. Le bug permet une injection de commande à distance avec peu ou pas d’authentification préalable lorsque des acteurs de menaces lancent des attaques via l’interface HTTP d’un appareil compromis.

Zyxel a publié un correctif nécessaire en avril mais n’a pas réussi à notifier les utilisateurs à temps au sujet de cette faille dans leurs produits pare-feu. L’équipe de recherche de Rapid7 a rendu la question publique le 12 mai 2022, avec de plus en plus de cas d’exploitation. Les chercheurs rapportent que les adversaires exploitent la vulnérabilité CVE-2022-30525 pour exécuter des commandes arbitraires et compromettre des réseaux internes.

Compte tenu du nombre de dispositifs Zyxel qui sont devenus des cibles faciles à cause de cette vulnérabilité (plus de 20 000), ainsi que du fait que le fournisseur fait la promotion de ces produits pour les besoins des entreprises, les utilisateurs sont exhortés à prendre des mesures immédiates, ou ils devront bientôt faire face aux conséquences de ces failles de sécurité.

Explorer la plateforme SOC Prime pour ouvrir de nouveaux horizons dans votre développement professionnel dans l’industrie de la sécurité. Chassez instantanément les dernières menaces au sein de plus de 25 technologies EDR, SIEM et XDR supportées, boostez la sensibilisation à toutes les dernières attaques, mappez les détections à MITRE ATT&CK, améliorez la résilience face aux menaces en évolution, et rationalisez vos opérations SOC.