Falla critica nei firewall Zyxel: la patch è disponibile da due settimane, aggiornare immediatamente

Zyxel ha emesso una patch correttiva per risolvere una vulnerabilità critica a carico di alcuni modelli di firewall che potrebbe dar modo ad un aggressore di ottenere l'accesso completo ai dispositivi e alle reti aziendali interne che dovrebbero essere protetti dagli stessi firewall. Le patch sono state emesse in modo "silenzioso" già qualche settimana fa, ma solo di recente sono emerse alcune informazioni sulla vulnerabilità.

La falla è stata scoperta dai ricercatori di sicurezza di Rapid7 e da loro comunicata a Zyxel il 13 aprile 2022. La vulnerabilità, tracciata con il codice CVE-2022-30525, viene classificata con un punteggio di 9,8. Si tratta, nello specifico, di una iniezione di comandi da remoto non autenticati, sfruttando l'interfaccia HTTP. Ad essere interessati sono i firewall Zyxel che supportano Zero Touch Provisioning con le versioni di firmware da ZLD5.00 a ZLD5.21 Patch 1.

Di seguito i modelli vulnerabili:

• USG FLEX 50, 50W, 100W, 200, 500, 700 con firmware 5.21 e precedenti
• USG20-VPN e USG20W-VPN con firmware 5.21 e precedenti
• ATP 100, 200, 500, 700, 800 con firmware 5.21 e precedenti

Si tratta di dispositivi che vengono di norma utilizzati per applicazioni VPN, ispezione SSL, protezione dalle intrusioni, sicurezza delle e-mail e operazioni di filtraggio del traffico web.

Zyxel ha rilasciato una patch correttiva il 28 aprile 2022 senza però dare esplicita comunicazione ai clienti, mancando l'emissione di un avviso di sicurezza, di dettagli tecnici riguardo al problema e di linee guida per l'applicazione della patch e per mitigare il problema. Nella giornata di ieri la società di sicurezza Rapid7 ha condiviso le informazioni relative alla vulnerabilità, assieme al modulo Metasploit che la sfrutta e ad un video dimostrativo.

Lo sfruttamento della vulnerabilità CVE-2022-30525 permette ad un attaccante di stabilire un punto d'appoggio nella rete interna del bersaglio designato, da cui può attaccare e compromettere quei sistemi interni che non sono esposti a Internet. 

Rapid7 ha riferito che al momento della scoperta della vulnerabilità sono stati rilevato oltre 16 mila sistemi vulnerabili esposti ad Internet, che fanno di questa vulnerabilità un'opportunità piuttosto interessante per gli aggressori. Con la condivisione pubblica della vulnerabilità e delle sue possibilità di sfruttamento diventa ora prioritario applicare la patch correttiva già rilasciata da Zyxel o, qualora non sia possibile farlo con tempestività, procedere almeno alla disattivazione dell'accesso WAN all'interfaccia Web di gestione dei dispositivi interessati.

Zyxel ha, nel frattempo, emesso un avviso di sicurezza per la vulnerabilità CVE-2022-30525 ringraziando Rapid7 per la scoperta ma lamentando una "cattiva comunicazione" durante il processo di coordinamento per la condivisione pubblica delle informazioni.