Rilevamento CVE-2022-30525: Vulnerabilità Critica Consente Attacchi di Iniezione di Comandi

Un bug recentemente scoperto nei prodotti Zyxel mette in pericolo decine di migliaia di utenti in Europa e negli Stati Uniti. La vulnerabilità critica che interessa le serie ATP di Zyxel, le serie VPN e le serie USG FLEX firewall aziendali è tracciata come CVE-2022-30525, con un punteggio di gravità pari a 9.8 CVSS. La vulnerabilità apre la strada agli hacker per eseguire codice arbitrario senza previa autenticazione sul dispositivo compromesso.

Rilevare CVE-2022-30525

Per identificare tempestivamente possibili violazioni del sistema attraverso lo sfruttamento della falla CVE-2022-30525, scarica le regole Sigma sviluppate da esperti sviluppatori di Threat Bounty Kaan Yeniyol and Nattatorn Chuensangarun per individuare tempestivamente comportamenti e modelli sospetti:

Possibile Accesso Iniziale mediante Sfruttamento di Zyxel Firewall Injection di Comando Remota Non Autenticata [CVE-2022-30525] (via proxy)

Possibile Accesso Iniziale mediante Sfruttamento di Zyxel Firewall Injection di Comando Remota Non Autenticata [CVE-2022-30525] (via webserver)

I ricercatori di sicurezza e i cacciatori di minacce possono sfruttare la ricca libreria di contenuti di rilevamento di SOC Prime per migliorare la loro visibilità di sicurezza e migliorare le routine di caccia. Sei entusiasta di creare contenuti di rilevamento e condividerli con la comunità di oltre 23.000 professionisti della sicurezza? Unisciti al nostro programma Threat Bounty!

Visualizza Rilevamenti Unisciti a Threat Bounty

Descrizione CVE-2022-30525

Il ricercatore di sicurezza di Rapid7, Jake Baines, ha rilasciato un consiglio riguardante il CVE-2022-30525, spiegando i dettagli su questo bug critico nei prodotti firewall e VPN di Zyxel. Il bug consente un’iniezione di comando remota con autenticazione inadeguata o assente quando gli attori delle minacce lanciano attacchi attraverso l’interfaccia HTTP di un dispositivo compromesso.

Zyxel ha rilasciato una correzione necessaria per il bug ad aprile, ma non è riuscita a notificare tempestivamente gli utenti riguardo a questa falla nei loro prodotti firewall. Il team di ricerca di Rapid7 ha affrontato pubblicamente la questione il 12 maggio 2022, con ulteriori casi di sfruttamento in aumento. I ricercatori segnalano che gli avversari utilizzano la vulnerabilità CVE-2022-30525 per eseguire comandi arbitrari e compromettere le reti interne.

Considerando il numero di dispositivi Zyxel che sono diventati bersagli facili a causa di questa vulnerabilità (oltre 20.000), così come il fatto che il venditore pubblicizza quei prodotti per esigenze aziendali, si invita gli utenti ad agire immediatamente, altrimenti dovranno affrontare gravi conseguenze per quei buchi di sicurezza molto presto.

Esplora il piattaforma SOC Prime per aprire nuovi orizzonti nel tuo sviluppo professionale nel settore della sicurezza. Caccia immediatamente le ultime minacce all’interno di oltre 25 tecnologie supportate EDR, SIEM, & XDR, aumenta la consapevolezza di tutti gli ultimi attacchi, mappa i rilevamenti su MITRE ATT&CK, migliora la resilienza alle minacce in evoluzione e semplifica le operazioni del tuo SOC.