Οι χάκερ εκτελούν ευρεία εκμετάλλευση ενός κρίσιμου ελαττώματος εντολών έγχυσης σε συσκευές δικτύωσης Zyxel, οι οποίες παρακολουθούνται ως CVE-2023-28771, για να εγκαταστήσουν κακόβουλο λογισμικό.
Το ελάττωμα, το οποίο υπάρχει στην προεπιλεγμένη διαμόρφωση του επηρεασμένου τείχους προστασίας και συσκευών VPN, μπορεί να αξιοποιηθεί για την εκτέλεση απομακρυσμένου κώδικα χωρίς έλεγχο ταυτότητας χρησιμοποιώντας ένα ειδικά διαμορφωμένο πακέτο IKEv2 στη θύρα UDP 500 της συσκευής.
Η Zyxel κυκλοφόρησε ενημερώσεις κώδικα για την ευπάθεια στις 25 Απριλίου 2023προειδοποιώντας τους χρήστες των ακόλουθων εκδόσεων προϊόντος να εφαρμόσουν για την επίλυση της ευπάθειας:
- ATP – ZLD V4.60 έως V5.35
- USG FLEX – ZLD V4.60 έως V5.35
- VPN- ZLD V4.60 έως V5.35
- ZyWALL/USG – ZLD V4.60 έως V4.73
Σήμερα, CISA δημοσίευσε προειδοποίηση προειδοποιώντας ότι CVE-2023-28771 αξιοποιείται ενεργά από εισβολείς, προτρέποντας τις ομοσπονδιακές υπηρεσίες να εφαρμόσουν τη διαθέσιμη ενημέρωση έως τις 21 Ιουνίου 2023.
.jpg)
Αυτή η ειδοποίηση συμπίπτει με πρόσθετη επαλήθευση από το Rapid7 σήμερα επιβεβαιώνει την ενεργή εκμετάλλευση του ελαττώματος.
Ένα από τα συμπλέγματα δραστηριοτήτων που επιβεβαιώθηκε ότι εκμεταλλεύεται το CVE-2023-28771 είναι ένα κακόβουλο λογισμικό botnet που βασίζεται στο Mirai που σύμφωνα με τον Shadowserverάρχισε να εξαπολύει επιθέσεις στις 26 Μαΐου 2023.
Παρόμοια δραστηριότητα ήταν έχων στίγματα από τον ερευνητή κυβερνοασφάλειας Kevin Beaumont μια μέρα νωρίτερα, ο οποίος τόνισε τη χρήση μιας δημόσιας διαθέσιμης εκμετάλλευσης PoC (proof of concept).
Ενώ η απειλή Mirai τυπικά περιορίζεται στο DDoS (κατανεμημένη άρνηση υπηρεσίας), άλλες ομάδες απειλών ενδέχεται να εμπλακούν σε χαμηλότερης κλίμακας και λιγότερο αισθητή εκμετάλλευση για να εξαπολύσουν πιο ισχυρές επιθέσεις εναντίον οργανισμών.
Είναι επίσης σημαντικό να σημειωθεί ότι η Zyxel διόρθωσε πρόσφατα δύο άλλα κρίσιμα ελαττώματα σοβαρότητας, τα CVE-2023-33009 και CVE-2023-33010, τα οποία επηρεάζουν το ίδιο τείχος προστασίας και προϊόντα VPN.
Τα δύο ελαττώματα θα μπορούσαν να επιτρέψουν σε μη επαληθευμένους εισβολείς να επιβάλλουν άρνηση υπηρεσίας σε ευάλωτες συσκευές ή να εκτελούν αυθαίρετο κώδικα.
Οι διαχειριστές συστήματος θα πρέπει να εφαρμόζουν τις διαθέσιμες ενημερώσεις ασφαλείας το συντομότερο δυνατό για να μετριάσουν τους αναδυόμενους κινδύνους εκμετάλλευσης, καθώς τα πιο πρόσφατα ελαττώματα είναι βέβαιο ότι θα τραβήξουν την προσοχή κακόβουλων παραγόντων.
Κατά τη στιγμή της γραφής, η πιο πρόσφατη διαθέσιμη έκδοση υλικολογισμικού συνιστάται στους χρήστες να αναβαθμίσουν σε “ZLD V5.36 Patch 2” για ATP – ZLD, USG FLEX και VPN- ZLD και “ZLD V4.73 Patch 2” για ZyWALL .
