Een kritieke kwetsbaarheid in firewalls van fabrikant Zyxel maakt het voor een ongeauthenticeerde aanvaller mogelijk om willekeurige code op het apparaat uit te voeren. Zyxel heeft updates uitgerold om het probleem te verhelpen, maar inmiddels is er ook exploitcode beschikbaar. De impact van de kwetsbaarheid, aangeduid als CVE-2022-30525, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Zyxel roept gebruikers met klem op om de patch te installeren.

Het probleem wordt veroorzaakt doordat de beheerdersinterface invoer van gebruikers niet goed controleert, waardoor het mogelijk is voor een aanvaller om willekeurige commando's op de firewall uit te voeren. Om de aanval op afstand uit te voeren moet de beheerdersinterface wel vanaf het internet toegankelijk zijn. Volgens securitybedrijf Rapid7, dat de kwetsbaarheid ontdekte, zijn erop internet meer dan 16.000 kwetsbare Zyxel-modellen te vinden.

Het gaat om de USG FLEX 100, 100W, 200, 500 en 700, USG20-VPN en USG20W-VPN en ATP 100, 200, 500, 700 en 800. Rapid7 waarschuwde Zyxel op 13 april en stelde voor om de details van het beveiligingslek op 21 juni openbaar te maken. Op 28 april bracht Zyxel een firmware-update uit, zonder dit met Rapid7 te coördineren. Daarop nam het securitybedrijf contact op met Zyxel. De firewallfabrikant vroeg vervolgens een CVE-nummer aan om het lek mee te identificeren en ging akkoord met een nieuwe datum om de details te openbaren, wat gisteren was.

Rapid7 is de ontwikkelaar van Metasploit, een opensourceframework voor het testen van de beveiliging van systemen en netwerken, dat geliefd is bij penetratietesters en securityprofessionals. Voor de kwetsbaarheid in de Zyxel-firewalls is nu een exploitmodule beschikbaar gemaakt. Organisaties worden dan ook opgeroepen om de update zo snel mogelijk te installeren en de beheerdersinterface niet vanaf internet toegankelijk te maken.