Rețelele botnet DDoS exploatează o vulnerabilitate din cadrul firewall-urilor Zyxel

Mai multe rețele botnet DDoS (Distributed Denial-of-Service) vizează o vulnerabilitate a firewall-urilor Zyxel, pentru care sunt disponibile actualizări încă din luna aprilie.

Identificată ca CVE-2023-28771, scor CvSS de 9,8/10, aceasta este descrisă ca fiind o vulnerabilitate de tip improper error message handling care poate duce la executarea comenzilor de la distanță în sistemul de operare.

În luna aprilie, Zyxel a lansat versiunea 5.36 de firmware pentru ATP, USG, FLEX și VPN și versiunea 4.73 de firmware pentru ZyWALL/USG pentru a remedia vulnerabilitatea.

La începutul lunii iunie, compania și-a îndemnat utilizatorii să-și actualizeze firewall-urile, după ce o variantă a botnetului Mirai a exploatat vulnerabilitatea în atacuri.

În urma publicării în luna iunie a unui modul Metasploit care exploatează această vulnerabilitate, acțiunile malițioase au crescut considerabil, mai multe rețele botnet DDoS adăugând un exploit pentru CVE-2023-28771.

Atacurile vizează în mod specific vulnerabilitatea command injection în pachetul Internet Key Exchange (IKE) transmis prin UDP pe dispozitivele Zyxel. Atacatorii utilizează curl sau wget pentru a descărca scripturi folosite ulterior în atacuri.

Compania Fortinet a declarat că odată ce atacatorii obțin control asupra dispozitivelor vulnerabile, acestea pot fi integrate în rețeaua botnet a atacatorilor, permițându-le să execute și alte atacuri precum DDoS.

Sursă: https://www.securityweek.com/multiple-ddos-botnets-exploiting-recent-zyxel-vulnerability/