Los usuarios de Zyxel aún pirateados por DDoS Botnet emergen como la molestia pública número 1
Los usuarios de Zyxel aún pirateados por DDoS Botnet emergen como la molestia pública número 1
Agrandar
Aurich Lawson/Ars Technica
Las organizaciones que aún tienen que parchear una vulnerabilidad de gravedad 9.8 en los dispositivos de red fabricados por Zyxel se han convertido en la principal molestia pública, ya que un número significativo de ellos continúan siendo explotados y atraídos por botnets que lanzan ataques DDoS.
Zyxel reparó la falla el 25 de abril. Cinco semanas después, Shadowserver, una organización que monitorea las amenazas de Internet en tiempo real, advirtió que muchos firewalls Zyxel y servidores VPN se habían visto comprometidos en ataques que no mostraban signos de detenerse. La evaluación de Shadowserver en ese momento fue: "Si tiene un dispositivo vulnerable expuesto, asuma un compromiso".
El miércoles, 12 semanas desde que Zyxel entregó un parche y siete semanas desde que Shadowserver dio la alarma, la firma de seguridad Fortinet publicó un estudio que informa un aumento en la actividad de explotación por parte de múltiples actores de amenazas en las últimas semanas. Al igual que con los compromisos activos informados por Shadowserver, los ataques provinieron abrumadoramente de variantes basadas en Mirai, una aplicación de código abierto utilizada por piratas informáticos para identificar y explotar vulnerabilidades comunes en enrutadores y otros dispositivos de Internet de las cosas.
Si tiene éxito, Mirai integra los dispositivos en botnets que potencialmente pueden lanzar ataques distribuidos de denegación de servicio de enormes tamaños.
Al aumentar la urgencia de parchear la vulnerabilidad de Zyxel, los investigadores lanzaron un código de explotación en junio que cualquiera podía descargar e integrar en su propio software de botnet. A pesar de la amenaza clara e inminente, todavía hay suficientes dispositivos vulnerables incluso cuando los ataques continúan aumentando, dijo Cara Lin, investigadora de Fortinet, en el informe del jueves. Lin escribió:
Desde el lanzamiento del módulo de explotación, ha habido un aumento sostenido de la actividad maliciosa. El análisis realizado por FortiGuard Labs identificó un aumento significativo en las ráfagas de ataques a partir de mayo, como se muestra en el gráfico de recuento de desencadenantes que se muestra en la Figura 1. También identificamos varias redes de bots, incluida Dark.IoT, una variante basada en Mirai, así como otra red de bots que utiliza métodos de ataque DDoS personalizados. En este artículo, proporcionaremos una explicación detallada de la carga útil entregada a través de CVE-2023-28771 y redes de bots relacionadas.
Figura 1: Actividad de ataque de botnet.
Fortinet
La vulnerabilidad utilizada para comprometer los dispositivos Zyxel, identificada como CVE-2023-28771, es una vulnerabilidad de inyección de comando no autenticada con una clasificación de gravedad de 9,8. La falla se puede explotar con un paquete IKEv2 especialmente diseñado en el puerto UDP 500 del dispositivo para ejecutar código malicioso. La revelación de Zyxel sobre la falla está aquí.
CVE-2023-28771 existe en las configuraciones predeterminadas de firewall y dispositivos VPN del fabricante. Incluyen las versiones 4.60 a 4.73 del firmware de la serie ZyWALL/USG de Zyxel, las versiones 4.60 a 5.35 del firmware de la serie VPN, las versiones 4.60 a 5.35 del firmware de la serie USG FLEX y las versiones 4.60 a 5.35 del firmware de la serie ATP.
Lin de Fortinet dijo que durante el mes pasado, los ataques que explotaron CVE-2023-28771 se originaron en direcciones IP separadas y se dirigieron específicamente a la capacidad de inyectar comandos en un paquete de intercambio de claves de Internet transmitido por dispositivos Zyxel. Los ataques se implementan mediante herramientas como curl y wget, que descargan scripts maliciosos de los servidores controlados por el atacante.
Las organizaciones que aún tienen que parchear una vulnerabilidad de gravedad 9.8 en los dispositivos de red fabricados por Zyxel se han convertido en la principal molestia pública, ya que un número significativo de ellos continúan siendo explotados y atraídos por botnets que lanzan ataques DDoS.
Zyxel reparó la falla el 25 de abril. Cinco semanas después, Shadowserver, una organización que monitorea las amenazas de Internet en tiempo real, advirtió que muchos firewalls Zyxel y servidores VPN se habían visto comprometidos en ataques que no mostraban signos de detenerse. La evaluación de Shadowserver en ese momento fue: "Si tiene un dispositivo vulnerable expuesto, asuma un compromiso".
El miércoles, 12 semanas desde que Zyxel entregó un parche y siete semanas desde que Shadowserver dio la alarma, la firma de seguridad Fortinet publicó un estudio que informa un aumento en la actividad de explotación por parte de múltiples actores de amenazas en las últimas semanas. Al igual que con los compromisos activos informados por Shadowserver, los ataques provinieron abrumadoramente de variantes basadas en Mirai, una aplicación de código abierto utilizada por piratas informáticos para identificar y explotar vulnerabilidades comunes en enrutadores y otros dispositivos de Internet de las cosas.
Si tiene éxito, Mirai integra los dispositivos en botnets que potencialmente pueden lanzar ataques distribuidos de denegación de servicio de enormes tamaños.
Al aumentar la urgencia de parchear la vulnerabilidad de Zyxel, los investigadores lanzaron un código de explotación en junio que cualquiera podía descargar e integrar en su propio software de botnet. A pesar de la amenaza clara e inminente, todavía hay suficientes dispositivos vulnerables incluso cuando los ataques continúan aumentando, dijo Cara Lin, investigadora de Fortinet, en el informe del jueves. Lin escribió:
Desde el lanzamiento del módulo de explotación, ha habido un aumento sostenido de la actividad maliciosa. El análisis realizado por FortiGuard Labs identificó un aumento significativo en las ráfagas de ataques a partir de mayo, como se muestra en el gráfico de recuento de desencadenantes que se muestra en la Figura 1. También identificamos varias redes de bots, incluida Dark.IoT, una variante basada en Mirai, así como otra red de bots que utiliza métodos de ataque DDoS personalizados. En este artículo, proporcionaremos una explicación detallada de la carga útil entregada a través de CVE-2023-28771 y redes de bots relacionadas.
Figura 1: Actividad de ataque de botnet.
Fortinet
La vulnerabilidad utilizada para comprometer los dispositivos Zyxel, identificada como CVE-2023-28771, es una vulnerabilidad de inyección de comando no autenticada con una clasificación de gravedad de 9,8. La falla se puede explotar con un paquete IKEv2 especialmente diseñado en el puerto UDP 500 del dispositivo para ejecutar código malicioso. La revelación de Zyxel sobre la falla está aquí.
CVE-2023-28771 existe en las configuraciones predeterminadas de firewall y dispositivos VPN del fabricante. Incluyen las versiones 4.60 a 4.73 del firmware de la serie ZyWALL/USG de Zyxel, las versiones 4.60 a 5.35 del firmware de la serie VPN, las versiones 4.60 a 5.35 del firmware de la serie USG FLEX y las versiones 4.60 a 5.35 del firmware de la serie ATP.
Lin de Fortinet dijo que durante el mes pasado, los ataques que explotaron CVE-2023-28771 se originaron en direcciones IP separadas y se dirigieron específicamente a la capacidad de inyectar comandos en un paquete de intercambio de claves de Internet transmitido por dispositivos Zyxel. Los ataques se implementan mediante herramientas como curl y wget, que descargan scripts maliciosos de los servidores controlados por el atacante.
Agrandar
Aurich Lawson/Ars Technica
Figura 1: Actividad de ataque de botnet.
Fortinet
