Detecção CVE-2022-30525: Vulnerabilidade Crítica Permite Ataques de Injeção de Comandos

Uma nova falha descoberta em produtos Zyxel põe em perigo dezenas de milhares de usuários na Europa e nos EUA. A vulnerabilidade crítica que afeta os firewalls empresariais das séries ATP, VPN e USG FLEX da Zyxel é rastreada como CVE-2022-30525, com uma pontuação de gravidade de 9.8 CVSS. A vulnerabilidade abre caminho para que hackers executem código arbitrário sem autenticação prévia no dispositivo comprometido.

Detectar CVE-2022-30525

Para identificar pontualmente possíveis violações do sistema através da exploração da falha CVE-2022-30525, faça o download das regras Sigma desenvolvidas por desenvolvedores experientes do Threat Bounty Kaan Yeniyol and Nattatorn Chuensangarun para detectar pontualmente comportamentos e padrões suspeitos:

Possível Acesso Inicial por Exploração de Injeção de Comando Remota Não Autenticada em Firewall Zyxel [CVE-2022-30525] (via proxy)

Possível Acesso Inicial por Exploração de Injeção de Comando Remota Não Autenticada em Firewall Zyxel [CVE-2022-30525] (via servidor web)

Pesquisadores de segurança e caçadores de ameaças podem aproveitar a rica biblioteca de conteúdo de detecção da SOC Prime para melhorar sua visibilidade de segurança e aprimorar suas rotinas de caça. Interessado em criar conteúdo de detecção e compartilhá-lo com a comunidade de mais de 23.000 profissionais de segurança? Junte-se ao nosso Programa Threat Bounty!

Ver Detecções Juntar-se ao Threat Bounty

Descrição da CVE-2022-30525

O pesquisador de segurança da Rapid7, Jake Baines, lançou um relatório sobre a CVE-2022-30525, elucidando os detalhes desta falha crítica em produtos de firewall e VPN da Zyxel. A falha permite uma injeção de comando remoto com pouca ou nenhuma autenticação prévia quando atores de ameaça lançam ataques via interface HTTP de um dispositivo comprometido.

A Zyxel lançou uma correção necessária em abril, mas falhou em notificar pontualmente os usuários sobre essa falha em seus produtos de firewall. A equipe de pesquisa da Rapid7 abordou o problema publicamente em 12 de maio de 2022, com mais casos de exploração se acumulando. Pesquisadores relatam que adversários exploram a vulnerabilidade CVE-2022-30525 para executar comandos arbitrários e comprometer redes internas.

Levando em consideração o número de dispositivos Zyxel que se tornaram alvos fáceis devido a esta vulnerabilidade (mais de 20.000), assim como o fato de que o fornecedor anuncia esses produtos para necessidades corporativas, os usuários são instados a tomar medidas imediatas, ou terão que enfrentar as consequências dessas falhas de segurança em breve.

Explore a plataforma SOC Prime para abrir novos horizontes em seu desenvolvimento profissional na indústria de segurança. Cace instantaneamente as ameaças mais recentes em mais de 25 tecnologias suportadas de EDR, SIEM e XDR, aumente a conscientização sobre todos os ataques mais recentes, mapeie detecções para o MITRE ATT&CK, aumente a resiliência a ameaças em evolução e otimize suas operações de SOC.