Сразу несколько DDoS-ботнетов атакуют устройства Zyxel - «Новости»
- 10:30, 22-июл-2023
- Новости / Добавления стилей / Отступы и поля / Преимущества стилей / Вёрстка / Изображения / Интернет и связь / Введение в CSS
- Pearcy
- 0
По данным компании Fortinet, как минимум три ботнета эксплуатируют уязвимость CVE-2023-28771, недавно обнаруженную в оборудовании Zyxel. Эксперты говорят, что атаки происходят в нескольких регионах, включая Центральную Америку, Северную Америку, Восточную Азию и Южную Азию.
Напомню, что исходно проблема была найдена специалистами TRAPA Security и получила рейтинг 9,8 балла из 10 возможных по шкале оценки уязвимостей CVSS.
Этот баг, исправленный в конце апреля, был связан с некорректной обработкой сообщений об ошибках в некоторых версиях брандмауэра и позволял неаутентифицированному злоумышленнику «удаленно выполнять команды, отправляя кастомные пакеты на уязвимое устройство».
Проблема затрагивала:
- ATP (версии ZLD от V4.60 до V5.35, исправлено в ZLD V5.36);
- USG FLEX (версии ZLD от V4.60 до V5.35, исправлено в ZLD V5.36);
- VPN (версии ZLD от V4.60 до V5.35, исправлено в ZLD V5.36);
- ZyWALL/USG (версии ZLD от V4.60 до V4.73, исправлено в ZLD V4.73 Patch 1).
В прошлом месяце специалисты Shadowserver Foundation уже предупреждали о том, что уязвимость «активно используется для создания Mirai-ботнета» как минимум с 26 мая 2023 года.
Как теперь пишут в Fortinet, после того как в июне состоялся публичный релиз модуля Metasploit, эксплуатирующего эту уязвимость, атака на CVE-2023-28771 заметно участились, и теперь баг взяли на вооружение уже несколько ботнетов. Теперь атаки исходят с нескольких IP-адресов и полагаются на скрипты, адаптированные для архитектуры MIPS.
«Эти атаки направлены на уязвимость введения команд в пакеты Internet Key Exchange (IKE), передаваемые по протоколу UDP на устройствах Zyxel. Злоумышленники используют такие инструменты, как curl или wget, для загрузки скриптов и дальнейших действий», — сообщают исследователи.
Среди ботнетов, участвующих в этой вредоносной активности, исследователи перечисляют Dark.IoT, существующий с 2021 года, безымянный Mirai-ботнет, а также ботнет ориентированный на DDoS-атаки, который Fortinet связывает с Telegram-группой «SHINJI.APP | Katana botnet».
«Похоже, в рамках этой кампании для запуска атак используются несколько серверов, обновляясь каждые нескольких дней, чтобы максимизировать компрометацию устройств Zyxel», — предупреждают в компании.
Комментарии (0)