黑客已开始利用最近修补的关键漏洞，漏洞编号为CVE-2022-30525，该漏洞会影响企业的 Zyxel防火墙和VPN设备。如成功利用则允许远程攻击者在没有身份验证的情况下远程注入任意命令，从而可以设置反向shell。该漏洞是由Rapid7的首席安全研究员Jacob Baines发现的，他在一份简短的技术报告中解释了如何在攻击中利用该漏洞。Jacob Baines说，“命令以nobody用户身份执行。此漏洞通过利用/ztp/cgi-bin/handler UR，这会导致未经验证的攻击者在lib_wan_settings.py中输入os.system。”研究人员指出，攻击者可以使用普通的bash GTFOBin建立反向shell 。

Zyxel于5月12日发布了针对CVE-2022-30525（严重严重性评分为 9.8）的安全公告，宣布 已针对受影响的型号发布了修复程序，并敦促管理员安装最新更新。

安全问题的严重性及其可能导致的损害足以让NSA网络安全主管Rob Joyce警告用户注意漏洞，并鼓励他们在设备固件版本易受攻击时更新设备固件版本。

从13日开始，非营利组织Shadowserver Foundation的安全专家称看到了针对 CVE-2022-30525的利用尝试。目前还不清楚这些尝试是否是恶意的，还是仅仅是研究人员在绘制目前受到攻击的Zyxel设备的地图。

Rapid7在互联网上扫描了易受攻击的 Zyxel产品，并使用Shodan搜索平台找到了15,000多个连接到互联网的硬件。Shadowserver运行了自己的扫描，并在开放网络上发现了至少 20,800 个可能受该漏洞影响的Zyxel防火墙模型。该组织通过唯一 IP 地址对硬件进行计数，发现其中超过15,000个是USG20-VPN和USG20W-VPN型号，而这些硬件专为“跨分支机构和连锁店的VPN连接”而设计。设备最易受攻击的地区是欧盟，法国和意大利的数量最多。

鉴于漏洞的严重性和设备的流行，安全研究人员已经发布了代码，可以帮助管理员检测安全漏洞和利用尝试。作为西班牙电信公司Telefónica的redteam的一部分，z3r00t 创建并发布了用于检测 CVE-2022-30525 的 Nuclei 漏洞扫描解决方案的模板。模板可从作者的 GitHub 获取。另一位研究员 BlueNinja也创建了一个脚本来检测Zyxel防火墙和VPN产品中未经身份验证的远程命令注入，并将其发布在 GitHub上。

参考来源：https://www.bleepingcomputer.com/news/security/hackers-are-exploiting-critical-bug-in-zyxel-firewalls-and-vpns/