Dispositivos Zyxel afetados por exploits ativos direcionados à vulnerabilidade CVE-2023-28771
Uma vulnerabilidade de segurança grave, identificada como CVE-2023-28771 , está afetando dispositivos de rede da Zyxel. Pesquisadores de segurança da GreyNoise notaram um aumento repentino e acentuado e um esforço concentrado dos invasores para explorar essa falha em 16 de junho.
A vulnerabilidade permite a execução remota de código, o que significa que invasores podem executar seus próprios programas em dispositivos vulneráveis à distância. Essa vulnerabilidade específica é encontrada na forma como os dispositivos Zyxel lidam com mensagens específicas da internet, chamadas pacotes IKE (Internet Key Exchange), que chegam pela porta UDP 500.
Embora os ataques direcionados a essa falha do Zyxel tenham sido mínimos, o dia 16 de junho trouxe um pico significativo de atividade. O GreyNoise registrou 244 endereços de internet diferentes tentando explorar o problema em um único dia.
Esses ataques são direcionados a dispositivos em vários países, sendo os seguintes os mais visados:
- Índia
- Espanha
- Alemanha
- Estados Unidos
- Reino Unido
Curiosamente, uma análise desses 244 endereços de ataque mostrou que eles não estavam envolvidos em nenhuma outra atividade suspeita de rede nas duas semanas que antecederam essa explosão repentina.
Uma investigação sobre os endereços de internet dos ataques revelou que todos estavam registrados na infraestrutura da Verizon Business e pareciam ter origem nos Estados Unidos. No entanto, como os ataques usam a porta UDP 500, que permite spoofing (falsificação do endereço do remetente), a verdadeira fonte pode estar oculta, observaram os pesquisadores da GreyNoise em sua publicação de blog compartilhada com o Hackread.com.
Análises mais aprofundadas da GreyNoise, apoiadas por verificações do VirusTotal , encontraram sinais de que esses ataques podem estar vinculados a variantes do botnet Mirai, um tipo de software malicioso que assume o controle dos dispositivos.
Em resposta a essas ameaças ativas, especialistas em segurança pedem ação imediata. Recomenda-se o bloqueio de todos os 244 endereços IP maliciosos identificados e a verificação de se algum dispositivo Zyxel conectado à internet possui os patches de segurança necessários para o CVE-2023-28771 .
Os proprietários de dispositivos também devem ficar atentos a qualquer atividade incomum após uma tentativa de exploração, pois isso pode levar a um comprometimento ainda maior ou à inclusão do dispositivo em uma botnet. Por fim, recomenda-se limitar qualquer exposição desnecessária da porta IKE/UDP 500 aplicando filtros de rede.
É importante observar que dispositivos Zyxel já enfrentaram desafios de segurança no passado. Por exemplo, o Hackread.com relatou em junho de 2024 que dispositivos NAS Zyxel estavam sendo alvos de uma botnet semelhante à Mirai, que explorava uma vulnerabilidade recente diferente (CVE-2024-29973), destacando um padrão recorrente de problemas nos produtos da empresa.
"Isso foi adicionado à lista de vulnerabilidades conhecidas exploradas da CISA em 31 de maio de 2023, exigindo que as agências o resolvessem antes de 21 de junho do mesmo ano. A atividade observada parece ser a atividade da botnet Mirai", disse Martin Jartelius , CISO da empresa de segurança cibernética Outpost24.
“Como a vulnerabilidade já foi amplamente atacada antes, para alguém ser vítima agora, seria preciso obter um dispositivo vulnerável, implantá-lo sem atualizações e expô-lo à internet, mesmo que ele esteja em um estado vulnerável conhecido”, explicou Martin.
“Quase se poderia dizer que a cadeia de incompetência necessária para ser vitimizada neste momento é quase impressionante, mas é claro que pode acontecer. Esta, no entanto, não é a vulnerabilidade com a qual todos deveríamos acordar e nos preocupar hoje. Na verdade, se você estivesse preocupado com isso, já teria corrigido anos atrás.”
HackRead
