CVE-2022-30525 탐지: 명령어 삽입 공격을 허용하는 치명적인 취약점

Zyxel 제품에서 새로 발견된 버그는 유럽과 미국의 수만 명의 사용자를 위험에 빠뜨립니다. Zyxel의 ATP 시리즈, VPN 시리즈, USG FLEX 시리즈 비즈니스 방화벽에 영향을 미치는 이 치명적인 취약점은 CVE-2022-30525로 추적되며, 심각도 점수는 9.8 CVSS입니다. 이 취약점은 해커가 손상된 장치에서 사전 인증 없이 임의 코드를 실행할 수 있는 길을 열어줍니다.

CVE-2022-30525 탐지

CVE-2022-30525 결함을 악용한 시스템 침입을 적시에 식별하기 위해, 경험 많은 Threat Bounty 개발자가 개발한 Sigma 규칙을 다운로드하세요. Kaan Yeniyol and Nattatorn Chuensangarun 수상한 행동 및 패턴을 적시에 발견하기 위해:

Zyxel 방화벽 비인증 원격 명령 주입 [CVE-2022-30525]을 이용한 초기 액세스 가능성 (프록시를 통해)

Zyxel 방화벽 비인증 원격 명령 주입 [CVE-2022-30525]을 이용한 초기 액세스 가능성 (웹 서버를 통해)

보안 연구자와 위협 사냥꾼은 SOC Prime의 풍부한 탐지 콘텐츠 라이브러리를 활용하여 보안 가시성을 향상시키고 사냥 루틴을 강화할 수 있습니다. 탐지 콘텐츠 제작을 열정적으로 하고 23,000명 이상의 보안 전문가 커뮤니티와 그것을 공유하고 싶으신가요? Threat Bounty 프로그램에 참여하세요!

탐지 보기 Threat Bounty 참여하기

CVE-2022-30525 설명

Rapid7의 보안 연구원 Jake Baines는 권고문 CVE-2022-30525에 대한 권고문을 발표하여 이 치명적인 Zyxel 방화벽 및 VPN 제품의 버그에 대한 세부사항을 설명했습니다. 이 버그는 위협 행위자가 손상된 장치의 HTTP 인터페이스를 통해 공격을 시작할 때 적절하지 않거나 사전 인증 없이도 원격 명령 주입을 허용합니다.

Zyxel은 4월에 필요한 버그 수정을 발표했지만 방화벽 제품의 이 결함에 대해 사용자에게 적시에 알리지 못했습니다. Rapid7의 연구팀은 2022년 5월 12일에 이 문제를 공개적으로 다루었으며, 더 많은 악용 사례가 축적되고 있습니다. 연구원들은 적들이 취약점 CVE-2022-30525를 활용하여 임의의 명령을 실행하고 내부 네트워크를 손상시키고 있다고 보고하였습니다.

이 취약점으로 인해 부드러운 목표가 된 Zyxel 장치의 수 (20,000대 이상)와 해당 제품이 기업용으로 광고되고 있다는 사실을 고려할 때, 사용자들은 즉각적인 조치를 취하지 않으면 이러한 보안 허점을 두고 곧 책임을 지게 될 것입니다.

탐색하기 SOC Prime 플랫폼 보안 산업에서의 전문 개발에서 새로운 지평을 여십시오. 25개 이상의 지원되는 EDR, SIEM 및 XDR 기술 내에서 최신 위협을 즉시 사냥하고, 최신 공격에 대한 인식을 높이며, 탐지를 MITRE ATT&CK에 매핑하고, 진화하는 위협에 대한 회복력을 강화하고, SOC 운영을 간소화하십시오.