Urządzenia Zyxel narażone na aktywne exploity wykorzystujące lukę w zabezpieczeniach CVE-2023-28771

Poważna luka w zabezpieczeniach, śledzona jako CVE-2023-28771 , dotyczy urządzeń sieciowych Zyxel. Badacze ds. bezpieczeństwa w GreyNoise zauważyli nagły, gwałtowny wzrost i skoncentrowane wysiłki atakujących, aby wykorzystać tę lukę ¹⁶ czerwca.

Luka umożliwia zdalne wykonanie kodu, co oznacza, że ​​atakujący mogą uruchamiać własne programy na podatnych urządzeniach z odległości. Ta konkretna słabość jest odkryta w sposobie, w jaki urządzenia Zyxel obsługują określone wiadomości internetowe, zwane pakietami Internet Key Exchange (IKE) przechodzącymi przez port UDP 500.

Podczas gdy ataki na tę lukę Zyxela były minimalne, 16 czerwca przyniósł znaczący wzrost aktywności. GreyNoise zarejestrował 244 różne adresy internetowe próbujące wykorzystać problem w ciągu jednego dnia.

Ataki te są wymierzone w urządzenia w różnych krajach. Poniżej przedstawiono najczęstsze typy ataków:

• Indie
• Hiszpania
• Niemcy
• Stany Zjednoczone
• Zjednoczone Królestwo

Co ciekawe, przegląd tych 244 adresów atakujących wykazał, że w ciągu dwóch tygodni poprzedzających ten nagły wzrost aktywności nie prowadzono na nich żadnej innej podejrzanej aktywności sieciowej.

Badanie atakujących adresów internetowych wykazało, że wszystkie były zarejestrowane w infrastrukturze Verizon Business i wydawały się pochodzić ze Stanów Zjednoczonych. Jednak ponieważ ataki wykorzystują port UDP 500, który umożliwia podszywanie się (fałszowanie adresu nadawcy), prawdziwe źródło może być ukryte, zauważyli badacze GreyNoise w swoim wpisie na blogu udostępnionym Hackread.com.

Dalsza analiza przeprowadzona przez GreyNoise, wsparta kontrolami serwisu VirusTotal , ujawniła oznaki, że ataki te mogą być powiązane z wariantami botnetu Mirai, złośliwego oprogramowania przejmującego kontrolę nad urządzeniami.

W odpowiedzi na te aktywne zagrożenia eksperci ds. bezpieczeństwa wzywają do natychmiastowego działania. Zaleca się zablokowanie wszystkich 244 zidentyfikowanych złośliwych adresów IP i sprawdzenie, czy którekolwiek podłączone do Internetu urządzenia Zyxel mają niezbędne poprawki bezpieczeństwa dla CVE-2023-28771 .

Właściciele urządzeń powinni również zwracać uwagę na wszelkie nietypowe działania po próbie wykorzystania luk, ponieważ może to prowadzić do dalszego naruszenia bezpieczeństwa lub dodania urządzenia do botnetu. Na koniec zaleca się ograniczenie niepotrzebnego narażenia portu IKE/UDP 500 poprzez zastosowanie filtrów sieciowych.

Ważne jest, aby zauważyć, że urządzenia Zyxel w przeszłości napotykały wyzwania związane z bezpieczeństwem. Na przykład, Hackread.com poinformował w czerwcu 2024 r., że urządzenia NAS Zyxel są celem botnetu podobnego do Mirai, który wykorzystuje inną niedawną lukę (CVE-2024-29973), podkreślając powtarzający się wzorzec problemów z produktami firmy.

„Zostało to dodane do listy znanych luk wykorzystywanych przez CISA 31 maja 2023 r., co wymagało od agencji rozwiązania problemu przed 21 czerwca tego samego roku. Zaobserwowana aktywność wydaje się być aktywnością botnetu Mirai” — powiedział Martin Jartelius , CISO w firmie zajmującej się cyberbezpieczeństwem Outpost24.

„Ponieważ ta luka była już wcześniej szeroko wykorzystywana, aby ktoś padł jej ofiarą, musiałby zdobyć podatne urządzenie, wdrożyć je bez aktualizacji i udostępnić w Internecie, nawet jeśli wiadomo, że jest podatne na ataki” – wyjaśnił Martin.

„Można by niemal powiedzieć, że łańcuch niekompetencji, który musiał stać się ofiarą w tym momencie, jest na granicy imponującego, ale oczywiście, może się zdarzyć. To jednak nie jest podatność, o którą powinniśmy się wszyscy dzisiaj obudzić i martwić. W rzeczywistości, gdybyś się tym martwił, naprawiłbyś to lata temu”.