Une faille s’est glissé dans les équipements réseaux du fabricant taiwanais, dont la mauvaise communication a permis à des attaquants d’élaborer des exploits pour cette vulnérabilité.
En fin de semaine dernière, Rapid7 a publié sur son blog les détails relatifs à une faille affectant les produits de Zyxel, fabricant taïwanais d’équipements réseaux. Cette faille, qualifiée plus tard CVE-2022-30525, se situe au niveau des pares-feux du constructeur, une erreur dans le système de vérification des entrées qui permet à un attaquant non authentifié d’exécuter à distance du code avec des droits utilisateurs.
Bref, une bien vilaine faille, qui affecterait entre 15 et 20 000 modems et routeurs exposés sur Internet. Rapid7 a signalé la vulnérabilité à Zyxel le 13 avril, et c’est à partir de là que ça coince. En effet, le Taïwanais a publié sans tambour ni trompette un correctif le 28 avril, sans prendre le temps de prévenir les chercheurs de Rapid7, ni de demander une CVE.
Rétroingénierie des correctifs
Bilan, la faille se trouve rapidement exploité, des attaquants ayant élaboré un exploit par rétroingénierie du correctif. Rapid7 a repéré le 9 mai la publication du correctif et, dans un post de blog en date du 13, indique avoir détecté une exploitation de la vulnérabilité. La société de cybersécurité a donc diffusé les détails de l’exploit, afin que les chercheurs puissent détecter une éventuelle compromission.
Rapid7 signale au passage que « les correctifs publiés silencieusement ont tendance à n'aider que les attaquants actifs, et laissent les défenseurs dans l'ignorance du risque réel des problèmes découverts ». De son côté, Zyxel plaide un manque de coordination, un quiproquo avec les chercheurs en cybersécurité. Toujours est-il qu’il est urgent d’appliquer ledit correctif.