Международный производитель сетевого оборудования Zyxel втихую выпустил исправление для критической уязвимости (CVE-2022-30525), позволяющей злоумышленникам удаленно захватить контроль над десятками тысяч межсетевых экранов.
Поскольку уязвимость позволяет удаленно внедрять команды без авторизации, она получила 9,8 балла из максимальных 10 по шкале оценивания уязвимостей. Для ее эксплуатации достаточно лишь отправить затронутым устройствам простые HTTP- или HTTPS-запросы, позволяющие хакерам отправлять команды или открывать web-оболочки, обеспечивающие им постоянный привилегированный доступ.
Проблема затрагивает линейку межсетевых экранов с функцией автоматической конфигурации (zero-touch provisioning). Zyxel позиционирует их как устройства для развертывания в небольших представительствах и штаб-квартирах компаний. Межсетевые экраны обеспечивают VPN-соединение, проверку SSL, фильтрацию web-трафика, защиту от вторжения и защиту электронной почты. По данным поиска Shodan, в настоящее время через интернет доступно более 16 тыс. уязвимых устройств.
Как пояснили обнаружившие уязвимость специалисты Rapid7, VPN-серия этих устройств также поддерживает ZTP, но они не уязвимы, поскольку в них нет других требуемых функций.
«Затронутые модели уязвимы к неавторизованному удаленному внедрению команд через административный HTTP-интерфейс. Команды выполняются как пользователь nobody. Данная уязвимость эксплуатируется через /ztp/cgi-bin/handler URI и является результатом передачи вводимых злоумышленником непроверенных данных в метод os.system в lib_wan_settings.py. Уязвимый функционал активируется в связи с командой setWanPortSt. Злоумышленник может внедрить произвольные команды в mtu или параметр данных», - пояснил исследователь Rapid7 Джейк Бэйнс (Jake Baines).
Rapid7 разработала модуль для фреймворка эксплоитов Metasploit, автоматизирующий процесс эксплуатации данной уязвимости.
По словам Бэйнса, Rapid7 уведомила Zyxel о проблеме 13 апреля 2022 года, и обе компании договорились, что исправление будет выпущено 21 июня, и в этот же день она будет раскрыта широкой общественности. Однако в тайне от Rapid7 производитель выпустил обновление прошивки 28 апреля.
Администраторы должны установить обновление вручную, если они не изменили настройки по умолчанию, разрешив автоматическое обновление.
DeFi-протокол Kelp DAO сообщил о подозрительной cross-chain активности с rsETH и остановил контракты токена в основной сети Ethereum и нескольких L2.
Исследователи обнаружили кампанию FakeWallet, в рамках которой в App Store размещались фишинговые iOS-приложения, маскирующиеся под популярные криптокошельки.
Исследователи описали ZionSiphon - OT-вредонос, ориентированный на объекты водоочистки и опреснения в Израиле.
21 апреля в РТУ МИРЭА прошло годовое собрание Ассоциации разработчиков программных продуктов «Отечественный софт».
Исследователи из НИЯУ МИФИ разработали инновационную архитектуру нейросети MambaShield, способную сохранять высокую точность работы даже в условиях целенаправленных кибератак на обучающие выборки.
«Лаборатория Касперского» выявила новую хакерскую группу — Geo Likho: по данным портала киберразведки Kaspersky Threat Intelligence Portal, злоумышленники совершают сложные целевые атаки на российские организации из различных сфер ради кибершпионажа.
Исследователи обнаружили новую версию Android-малвари NGate, которая теперь маскируется не под банковский троян, а под модифицированное легитимное NFC-приложение HandyPay.
Французское агентство France Titres, ранее ANTS, подтвердило инцидент безопасности на портале ants.
Российский разработчик технологий кибербезопасности F6 предупредил о распространении опасного инфостилера WeedHack, замаскированного под популярные модификации для Minecraft.
ПАО «ВымпелКом» и ОАО «РЖД» совместно с разработчиком высокотехнологичных средств защиты информации, компанией «ИнфоТеКС», провели успешные пилотные испытания технологии квантового распределения ключей для организации высокозащищенной корпоративной сети.
