Dispositivi Zyxel colpiti da exploit attivi che prendono di mira la vulnerabilità CVE-2023-28771

Una grave vulnerabilità di sicurezza, identificata come CVE-2023-28771 , sta interessando i dispositivi di rete Zyxel. I ricercatori di sicurezza di GreyNoise hanno notato un improvviso e netto aumento e un intenso sforzo da parte degli aggressori per sfruttare questa falla il ¹⁶ giugno.

La vulnerabilità consente l'esecuzione di codice remoto, il che significa che gli aggressori possono eseguire i propri programmi su dispositivi vulnerabili a distanza. Questa particolare debolezza si riscontra nel modo in cui i dispositivi Zyxel gestiscono specifici messaggi Internet, chiamati pacchetti IKE (Internet Key Exchange) in arrivo sulla porta UDP 500.

Sebbene gli attacchi mirati a questa falla di Zyxel fossero stati minimi, il 16 giugno si è registrato un picco significativo di attività. GreyNoise ha registrato 244 diversi indirizzi internet che hanno tentato di sfruttare la falla in un solo giorno.

Questi attacchi sono rivolti a dispositivi in ​​vari Paesi, tra i più colpiti troviamo:

• India
• Spagna
• Germania
• Stati Uniti
• Regno Unito

È interessante notare che un esame di questi 244 indirizzi attaccanti ha dimostrato che non erano stati coinvolti in altre attività sospette di rete nelle due settimane precedenti questa improvvisa esplosione.

Un'indagine sugli indirizzi internet degli attacchi ha rivelato che erano tutti registrati presso l'infrastruttura di Verizon Business e sembravano provenire dagli Stati Uniti. Tuttavia, poiché gli attacchi utilizzano la porta UDP 500, che consente lo spoofing (la falsificazione dell'indirizzo del mittente), la vera fonte potrebbe essere nascosta, hanno osservato i ricercatori di GreyNoise nel loro post sul blog condiviso con Hackread.com.

Ulteriori analisi condotte da GreyNoise, supportate dai controlli di VirusTotal , hanno rilevato segnali che suggeriscono che questi attacchi potrebbero essere collegati a varianti della botnet Mirai, un tipo di software dannoso che prende il controllo dei dispositivi.

In risposta a queste minacce attive, gli esperti di sicurezza sollecitano un'azione immediata. Si consiglia di bloccare tutti i 244 indirizzi IP dannosi identificati e di verificare se i dispositivi Zyxel connessi a Internet dispongano delle patch di sicurezza necessarie per CVE-2023-28771 .

I proprietari dei dispositivi dovrebbero inoltre prestare attenzione a qualsiasi attività insolita dopo un tentativo di exploit, poiché ciò potrebbe portare a un'ulteriore compromissione o all'aggiunta del dispositivo a una botnet. Infine, si consiglia di limitare qualsiasi esposizione non necessaria della porta IKE/UDP 500 applicando filtri di rete.

È importante notare che i dispositivi Zyxel hanno dovuto affrontare problemi di sicurezza in passato. Ad esempio, Hackread.com ha segnalato a giugno 2024 che i dispositivi NAS Zyxel erano stati presi di mira da una botnet simile a Mirai che sfruttava una vulnerabilità recente (CVE-2024-29973), evidenziando un pattern ricorrente di problemi per i prodotti dell'azienda.

"Questa vulnerabilità è stata aggiunta all'elenco delle vulnerabilità note sfruttate dal CISA il 31 maggio 2023, richiedendo alle agenzie di risolverla entro il 21 giugno dello stesso anno. L'attività osservata sembra essere quella della botnet Mirai", ha affermato Martin Jartelius , CISO dell'azienda di sicurezza informatica Outpost24.

"Dato che la vulnerabilità è già stata ampiamente presa di mira in passato, per esserne vittima ora, sarebbe stato necessario procurarsi un dispositivo vulnerabile, distribuirlo senza aggiornamenti ed esporlo su Internet, nonostante si trovi in ​​uno stato di vulnerabilità nota", ha spiegato Martin.

Si potrebbe quasi dire che la catena di incompetenza di cui si è dovuto fare i conti a questo punto sia al limite dell'impressionante, ma ovviamente può succedere. Questa, tuttavia, non è la vulnerabilità di cui dovremmo tutti svegliarci e preoccuparci oggi. Anzi, se ci fossimo preoccupati, l'avremmo risolta anni fa.