По данным компании Fortinet, как минимум три ботнета эксплуатируют уязвимость CVE-2023-28771, недавно обнаруженную в оборудовании Zyxel. Эксперты говорят, что атаки происходят в нескольких регионах, включая Центральную Америку, Северную Америку, Восточную Азию и Южную Азию.

Напомню, что исходно проблема была найдена специалистами TRAPA Security и получила рейтинг 9,8 балла из 10 возможных по шкале оценки уязвимостей CVSS.

Этот баг, исправленный в конце апреля, был связан с некорректной обработкой сообщений об ошибках в некоторых версиях брандмауэра и позволял неаутентифицированному злоумышленнику «удаленно выполнять команды, отправляя кастомные пакеты на уязвимое устройство».

Проблема затрагивала:

  • ATP (версии ZLD от V4.60 до V5.35, исправлено в ZLD V5.36);
  • USG FLEX (версии ZLD от V4.60 до V5.35, исправлено в ZLD V5.36);
  • VPN (версии ZLD от V4.60 до V5.35, исправлено в ZLD V5.36);
  • ZyWALL/USG (версии ZLD от V4.60 до V4.73, исправлено в ZLD V4.73 Patch 1).

В прошлом месяце специалисты Shadowserver Foundation уже предупреждали о том, что уязвимость «активно используется для создания Mirai-ботнета» как минимум с 26 мая 2023 года.

Как теперь пишут в Fortinet, после того как в июне состоялся публичный релиз модуля Metasploit, эксплуатирующего эту уязвимость, атака на CVE-2023-28771 заметно участились, и теперь баг взяли на вооружение уже несколько ботнетов. Теперь атаки исходят с нескольких IP-адресов и полагаются на скрипты, адаптированные для архитектуры MIPS.

«Эти атаки направлены на уязвимость введения команд в пакеты Internet Key Exchange (IKE), передаваемые по протоколу UDP на устройствах Zyxel. Злоумышленники используют такие инструменты, как curl или wget, для загрузки скриптов и дальнейших действий», — сообщают исследователи.

Среди ботнетов, участвующих в этой вредоносной активности, исследователи перечисляют  Dark.IoT, существующий с 2021 года, безымянный Mirai-ботнет, а также ботнет ориентированный на DDoS-атаки, который Fortinet связывает с Telegram-группой «SHINJI.APP | Katana botnet».

«Похоже, в рамках этой кампании для запуска атак используются несколько серверов, обновляясь каждые нескольких дней, чтобы максимизировать компрометацию устройств Zyxel», — предупреждают в компании.

 

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии