Пользователи Zyxel, которых до сих пор взламывает ботнет DDoS, становятся причиной общественного беспокойства № 1

Организации, которые еще не исправили уязвимость уровня 9,8 в сетевых устройствах, созданную Zyxel, стали источником общественного беспокойства № 1, поскольку значительное их количество продолжает использоваться и превращаться в ботнеты, которые проводят DDoS-атаки.

Zyxel исправила уязвимость 25 апреля. Пять недель спустя Shadowserver, организация, отслеживающая интернет-угрозы в режиме реального времени, предупредила, что многие брандмауэры и VPN-серверы Zyxel были скомпрометированы в результате атак, которые не собираются прекращаться. В то время оценка Shadowserver была следующей: «Если у вас есть уязвимое устройство, идти на компромисс».

В среду — через 12 недель после того, как Zyxel выпустила патч, и через семь недель после того, как Shadowserver забил тревогу — охранная фирма Fortinet опубликованное исследование сообщают о всплеске активности эксплойтов, совершаемой несколькими злоумышленниками в последние недели. Как и в случае с активными компрометациями, о которых сообщил Shadowserver, атаки в основном исходили от вариантов, основанных на Mirai, приложении с открытым исходным кодом, которое хакеры используют для выявления и использования распространенных уязвимостей в маршрутизаторах и других устройствах Интернета вещей.

В случае успеха, Мирай превращает устройства в ботнеты, которые потенциально могут проводить распределенные атаки типа «отказ в обслуживании» огромных масштабов.

Повышение срочности исправления уязвимости Zyxel, исследователи в июне опубликованный код эксплойта которые любой мог загрузить и включить в свое собственное программное обеспечение ботнета. Несмотря на явную и неминуемую угрозу, остается достаточно уязвимых устройств, даже несмотря на то, что атаки продолжают расти, заявила исследователь Fortinet Кара Лин в отчете, опубликованном в четверг. Лин написал:

С момента публикации модуля эксплойта наблюдается устойчивый всплеск вредоносной активности. Анализ, проведенный FortiGuard Labs, выявил значительное увеличение количества атак, начиная с мая, как показано на графике количества триггеров, показанном на рисунке 1. Мы также выявили несколько ботнетов, включая Dark.IoT, вариант на основе Mirai, а также еще один ботнет, использующий настраиваемые методы DDoS-атак. В этой статье мы предоставим подробное объяснение полезной нагрузки, доставляемой через CVE-2023-28771 и связанные с ней ботнеты.

Уязвимость, используемая для компрометации устройств Zyxel, отслеживаемая как CVE-2023-28771, представляет собой уязвимость внедрения команд без проверки подлинности с рейтингом серьезности 9,8. Уязвимость может быть использована с помощью специально созданного пакета IKEv2 на UDP-порт 500 устройства для выполнения вредоносного кода. Раскрытие Zyxel уязвимости здесь.

CVE-2023-28771 присутствует в конфигурациях по умолчанию брандмауэра и VPN-устройств производителя. Они включают версии прошивки Zyxel ZyWALL/USG с 4.60 по 4.73, версии прошивки с 4.60 по 5.35 серии VPN, версии прошивки с 4.60 по 5.35 серии USG FLEX и версии прошивки с 4.60 по 5.35 серии ATP.

Лин из Fortinet сказал, что за последний месяц атаки с использованием CVE-2023-28771 происходили с разных IP-адресов и были нацелены на возможность внедрения команд в пакете Internet Key Exchange, передаваемом устройствами Zyxel. Атаки осуществляются с помощью таких инструментов, как curl и wget, загружающих вредоносные скрипты с серверов, контролируемых злоумышленниками.

Помимо Dark.IoT, другие программы для ботнетов, использующие уязвимость, включают Rapperbot и Katana, последний из которых тесно связан с каналом Telegram, известным как «SHINJI.APP | Ботнет Katana».

Учитывая способность эксплойтов выполняться непосредственно на чувствительных устройствах безопасности, можно было бы предположить, что затронутые организации уже исправили основную уязвимость. Увы, продолжающиеся успешные попытки эксплойта демонстрируют нетривиальное количество их до сих пор.

«Наличие открытых уязвимостей в устройствах может привести к значительным рискам», — отметил Лин. «Как только злоумышленник получает контроль над уязвимым устройством, он может включить его в свою бот-сеть, что позволяет ему выполнять дополнительные атаки, такие как DDoS. Чтобы эффективно противостоять этой угрозе, крайне важно, когда это возможно, расставлять приоритеты в применении исправлений и обновлений».