Zyxel-Geräte sind von aktiven Exploits betroffen, die auf die Sicherheitslücke CVE-2023-28771 abzielen

Eine schwerwiegende Sicherheitslücke ( CVE-2023-28771 ) betrifft Netzwerkgeräte von Zyxel. Sicherheitsforscher von GreyNoise stellten am ^16. Juni einen plötzlichen Anstieg der Sicherheitslücken sowie gezielte Angriffe fest, die diese Schwachstelle ausnutzten.

Die Sicherheitslücke ermöglicht die Remote-Codeausführung, sodass Angreifer ihre eigenen Programme aus der Ferne auf anfälligen Geräten ausführen können. Diese Schwachstelle liegt insbesondere in der Art und Weise, wie Zyxel -Geräte bestimmte Internetnachrichten verarbeiten, sogenannte Internet Key Exchange (IKE)-Pakete, die über den UDP-Port 500 eingehen.

Während die Angriffe auf diese Zyxel-Sicherheitslücke bisher minimal waren, kam es am 16. Juni zu einem deutlichen Anstieg der Aktivitäten. GreyNoise verzeichnete innerhalb eines einzigen Tages 244 verschiedene Internetadressen, die versuchten, die Sicherheitslücke auszunutzen.

Diese Angriffe richten sich gegen Geräte in verschiedenen Ländern, wobei die folgenden am häufigsten betroffen sind:

• Indien
• Spanien
• Deutschland
• Vereinigte Staaten
• Vereinigtes Königreich

Interessanterweise ergab eine Überprüfung dieser 244 angreifenden Adressen, dass sie in den zwei Wochen vor diesem plötzlichen Ausbruch an keiner anderen verdächtigen Netzwerkaktivität beteiligt waren.

Eine Untersuchung der angreifenden Internetadressen ergab, dass sie alle unter der Infrastruktur von Verizon Business registriert waren und offenbar aus den USA stammten. Da die Angriffe jedoch den UDP-Port 500 nutzen, der Spoofing (Fälschung der Absenderadresse) ermöglicht, könnte die wahre Quelle verborgen bleiben, wie die Forscher von GreyNoise in einem Blogbeitrag gegenüber Hackread.com feststellten.

Weitere Analysen von GreyNoise, unterstützt durch Prüfungen von VirusTotal , ergaben Anzeichen dafür, dass diese Angriffe möglicherweise mit Varianten des Mirai-Botnetzes in Verbindung stehen, einer Art Schadsoftware, die Geräte übernimmt.

Als Reaktion auf diese aktiven Bedrohungen fordern Sicherheitsexperten sofortiges Handeln. Es wird empfohlen, alle 244 identifizierten bösartigen IP-Adressen zu blockieren und zu prüfen, ob internetfähige Zyxel-Geräte über die erforderlichen Sicherheitspatches für CVE-2023-28771 verfügen.

Gerätebesitzer sollten nach einem Exploit-Versuch auf ungewöhnliche Aktivitäten achten, da diese zu weiteren Kompromittierungen oder zur Einbindung des Geräts in ein Botnetz führen könnten. Schließlich empfiehlt es sich, die unnötige Nutzung des IKE/UDP-Ports 500 durch Netzwerkfilter zu begrenzen.

Es ist wichtig zu beachten, dass Zyxel-Geräte in der Vergangenheit mit Sicherheitsproblemen konfrontiert waren. So berichtete Hackread.com im Juni 2024, dass Zyxel-NAS-Geräte von einem Mirai-ähnlichen Botnetz angegriffen wurden , das eine andere aktuelle Sicherheitslücke (CVE-2024-29973) ausnutzte. Dies verdeutlicht ein wiederkehrendes Muster von Problemen bei den Produkten des Unternehmens.

„Dies wurde am 31. Mai 2023 in die CISA-Liste der bekannten ausgenutzten Schwachstellen aufgenommen. Die Behörden müssen das Problem bis zum 21. Juni desselben Jahres behoben haben. Bei der beobachteten Aktivität scheint es sich um die Aktivität des Mirai-Botnetzes zu handeln“, sagte Martin Jartelius , CISO beim Cybersicherheitsunternehmen Outpost24.

„Da diese Sicherheitslücke bereits in der Vergangenheit umfassend ausgenutzt wurde, müsste sich jemand, der jetzt Opfer dieser Schwachstelle werden möchte, ein anfälliges Gerät besorgen, es ohne Updates bereitstellen und es dem Internet aussetzen, obwohl es sich in einem bekannten anfälligen Zustand befindet“, erklärte Martin.

Man könnte fast sagen, dass die Kette der Inkompetenz, die an diesem Punkt zum Opfer fallen musste, geradezu beeindruckend ist, aber natürlich kann so etwas passieren. Dies ist jedoch nicht die Schwachstelle, über die wir uns heute alle Sorgen machen sollten. Tatsächlich hätte man sie schon vor Jahren behoben, wenn man sich darüber Sorgen gemacht hätte.