Исследователи советуют владельцам «предполагать компрометацию» непропатченных брандмауэров Zyxel

Брандмауэры, созданные Zyxel, превращаются в деструктивную ботнет, который берет их под контроль, используя недавно исправленную уязвимость с рейтингом серьезности 9,8 из 10 возможных.

«На данном этапе, если у вас есть уязвимое устройство, предполагайте компрометацию», — говорят представители Shadowserver, организации, которая отслеживает интернет-угрозы в режиме реального времени. предупрежден четыре дня назад. Чиновники заявили, что эксплойты исходят от ботнета, похожего на Mirai, который использует коллективную пропускную способность тысяч скомпрометированных интернет-устройств для отключения сайтов с помощью распределенных атак типа «отказ в обслуживании».

В соответствии с данные с теневого сервера собранных за последние 10 дней, 25 из 62 наиболее активно подключенных к Интернету устройств, осуществляющих «нисходящие атаки» — то есть попытки взлома других подключенных к Интернету устройств — были созданы Zyxel по IP-адресам.

Уязвимость уровня опасности 9,8 в конфигурациях по умолчанию

Программная ошибка, используемая для взлома устройств Zyxel, отслеживается как CVE-2023-28771, уязвимость внедрения команд без проверки подлинности с уровнем серьезности 9,8. Недостаток, который Zyxel исправлен 25 апреля может быть использован для запуска вредоносного кода со специально созданным пакетом IKEv2 на UDP-порт 500 на устройстве.

Критическая уязвимость существует в заводских конфигурациях брандмауэра и VPN-устройств по умолчанию. Они включают версии прошивки Zyxel ZyWALL/USG с 4.60 по 4.73, версии прошивки с 4.60 по 5.35 серии VPN, версии прошивки с 4.60 по 5.35 серии USG FLEX и версии прошивки с 4.60 по 5.35 серии ATP.

Затронутая серия	Затронутая версия	Доступность исправлений
АТФ	ZLD от V4.60 до V5.35	ЗЛД V5.36
USG FLEX	ZLD от V4.60 до V5.35	ЗЛД V5.36
VPN	ZLD от V4.60 до V5.35	ЗЛД V5.36
ZyWALL/USG	ZLD от V4.60 до V4.73	ZLD V4.73 Патч 1

В среду Агентство кибербезопасности и безопасности инфраструктуры помещен CVE-2023-28771 в списке известных эксплуатируемых уязвимостей. Агентство дало федеральным агентствам срок до 21 июня, чтобы исправить любые уязвимые устройства в их сетях.

Исследователь безопасности Кевин Бомонт также был предупреждение массовой эксплуатации уязвимости с прошлой недели.

«Эта уязвимость #Zyxel сейчас массово эксплуатируется ботнетом Mirai», — написал он на Mastodon. «В собственности чертова тонна VPN-боксов для малого и среднего бизнеса».

Измерения из поисковой системы Shodan показывают почти 43 000 экземпляров устройств Zyxel, подключенных к Интернету.

«Это число включает только те устройства, которые выставляют свои веб-интерфейсы в WAN, что не является настройкой по умолчанию», — сказал Rapid7, используя аббревиатуру для глобальной сети, части сети компании, к которой можно получить доступ через Интернет. «Поскольку уязвимость находится в службе VPN, которая включена по умолчанию в глобальной сети, мы ожидаем, что фактическое количество открытых и уязвимых устройств будет намного выше».

По словам Rapid7, VPN — сокращение от «виртуальная частная сеть» — не нужно настраивать на устройстве, чтобы оно было уязвимым. Устройства Zyxel долгое время были предпочтительными для взлома, потому что они расположены на границе сети, где защита обычно ниже. После заражения злоумышленники используют устройства в качестве стартовой площадки для взлома других устройств в Интернете или в качестве точки опоры, которую можно использовать для распространения на другие части сети, к которой они принадлежат.

Хотя основное внимание уделяется CVE-2023-28771, Rapid7 предупредил о двух других уязвимостях — CVE-2023-33009 и CVE-2023-33010 — что Zyxel исправлен на прошлой неделе. Обе уязвимости также имеют рейтинг серьезности 9,8.

Поскольку заражение CVE-2023-28771 все еще происходит через пять недель после того, как Zyxel исправила его, становится ясно, что многие владельцы устройств не устанавливают обновления безопасности своевременно. Если плохая гигиена исправлений перенесется на недавно исправленные уязвимости, скорее всего, вскоре произойдет больше компрометаций Zyxel.