黑客已開始利用最近修補的關鍵漏洞，漏洞編號為CVE-2022-30525，該漏洞會影響企業的 Zyxel防火墻和VPN設備。如成功利用則允許遠程攻擊者在沒有身份驗證的情況下遠程注入任意命令，從而可以設置反向shell。該漏洞是由Rapid7的首席安全研究員Jacob Baines發現的，他在一份簡短的技術報告中解釋了如何在攻擊中利用該漏洞。Jacob Baines說，“命令以nobody用戶身份執行。此漏洞通過利用/ztp/cgi-bin/handler UR，這會導致未經驗證的攻擊者在lib_wan_settings.py中輸入os.system。”研究人員指出，攻擊者可以使用普通的bash GTFOBin建立反向shell 。

Zyxel于5月12日發布了針對CVE-2022-30525(嚴重嚴重性評分為 9.8)的安全公告，宣布 已針對受影響的型號發布了修復程序，并敦促管理員安裝最新更新。

安全問題的嚴重性及其可能導致的損害足以讓NSA網絡安全主管Rob Joyce警告用戶注意漏洞，并鼓勵他們在設備固件版本易受攻擊時更新設備固件版本。

從13日開始，非營利組織Shadowserver Foundation的安全專家稱看到了針對 CVE-2022-30525的利用嘗試。目前還不清楚這些嘗試是否是惡意的，還是僅僅是研究人員在繪制目前受到攻擊的Zyxel設備的地圖。

Rapid7在互聯網上掃描了易受攻擊的 Zyxel產品，并使用Shodan搜索平臺找到了15,000多個連接到互聯網的硬件。Shadowserver運行了自己的掃描，并在開放網絡上發現了至少 20,800 個可能受該漏洞影響的Zyxel防火墻模型。該組織通過唯一 IP 地址對硬件進行計數，發現其中超過15,000個是USG20-VPN和USG20W-VPN型號，而這些硬件專為“跨分支機構和連鎖店的VPN連接”而設計。設備最易受攻擊的地區是歐盟，法國和意大利的數量最多。

鑒于漏洞的嚴重性和設備的流行，安全研究人員已經發布了代碼，可以幫助管理員檢測安全漏洞和利用嘗試。作為西班牙電信公司Telefónica的redteam的一部分，z3r00t 創建并發布了用于檢測 CVE-2022-30525 的 Nuclei 漏洞掃描解決方案的模板。模板可從作者的 GitHub 獲取。另一位研究員 BlueNinja也創建了一個腳本來檢測Zyxel防火墻和VPN產品中未經身份驗證的遠程命令注入，并將其發布在 GitHub上。

參考來源：https://www.bleepingcomputer.com/news/security/hackers-are-exploiting-critical-bug-in-zyxel-firewalls-and-vpns/