Dans un avis de sécurité daté du 12 mai, le fabricant taiwanais de matériel réseau Zyxel fait état d’une faille critique, CVE-2022-30525, à corriger d’urgence (score CVSS de 9.8). Il s’agit d’une vulnérabilité d’injection de commande dans le programme CGI qui pourrait permettre à une personne non-authentifiée de modifier à distance des fichiers spécifiques, puis d’exécuter des commandes du système d’exploitation.
Les modèles touchés sont les séries ATP et VPN, les modèles USG 100(W), 200, 500, 700 et Flex 50(W)/USG20(W)-VPN.
Cela concerne environ 4.500 unités en France.
Jake Baines de la société de cybersécurité Rapid7 a découvert puis signalé la faille à Zyxel le 13 avril dernier alors qu’aucune exploitation de la vulnérabilité n’était à signaler. Malheureusement, Zyxel a publié un correctif deux semaines plus tard, le 28 avril, sans communiquer à ce sujet et sans attribuer de numéro CVE à la vulnérabilité. Résultat : des personnes aux intentions malveillantes ont eu deux semaines pour décortiquer le correctif et l’exploiter avant que les administrations IT détentrices des modèles concernés n’aient eu connaissance de la faille.
« Cette publication de correctifs équivaut à la publication des détails des vulnérabilités car les attaquants et chercheurs peuvent inverser le correctif pour connaître les détails précis de l’exploitation, alors que les défenseurs prennent rarement la peine de le faire », déclare Jake Baines. « Les correctifs de vulnérabilité silencieux ont tendance à n’aider que les attaquants actifs tandis qu’ils laissent les défenseurs dans l’ignorance du risque réel des problèmes découverts. »
Pour Zyxel, il s’agit d’un « malentendu au cours du processus de coordination de la divulgation ».
Notons que cette faille CVE-2022-30525 est différente de la vulnérabilité critique CVE-2022-0342 liée au potentiel contournement d’authentification, notifiée il y a moins de deux mois.