Эксперты предупреждают, что хакеры уже начали эксплуатировать критическую уязвимость CVE-2022-30525, которая затрагивает брандмауэры и VPN-устройства Zyxel. Успешная эксплуатация позволяет неаутентифицированным хакерам осуществлять удаленные инжекты произвольных команд и внедрять реверс-шеллы.
Уязвимость, исправленная на прошлой неделе и допускающая удаленные инъекции команд без аутентификации, получила 9,8 балла из 10 возможных по шкале CVSS. К тому же уже тогда сообщалось, что ее легко использовать, отправляя простые запросы HTTP или HTTPS на уязвимые устройства.
Так как уязвимость представляет серьезную угрозу, о необходимости срочной установки обновлений на прошлой неделе предупреждал даже директор по кибербезопасности АНБ Роб Джойс.
Как и следовало ожидать, вскоре ИБ-специалисты заметили первые атаки на CVE-2022-30525. Начиная с пятницы, 13 мая, эксперты из некоммерческой организации Shadowserver Foundation сообщают, что наблюдают попытки эксплуатации бага. Нужно отметить, что пока неясно, стоят ли за этими попытками хакеры или это ИБ-исследователи стремятся обнаружить уязвимые устройства устройств Zyxel, представляющие интерес для злоумышленников.
Ранее эксперты Rapid7 сообщали, что в сети можно обнаружить около 16 000 потенциально уязвимых устройств, но теперь аналитики Shadowserver Foundation провели собственное сканирование и выявили в сети не менее 20 800 брандмауэров Zyxel, которые потенциально подвержены свежей уязвимости. Организация считала устройства по уникальным IP-адресам и сообщает, что более 15 000 из них — это модели USG20-VPN и USG20W-VPN.
Больше всего уязвимых девайсов было обнаружено в странах ЕС (в том числе во Франции и Италии).
