Основы Интернет - технологий.

По данным компании Fortinet, как минимум три ботнета эксплуатируют уязвимость CVE-2023-28771, недавно обнаруженную в оборудовании Zyxel. Эксперты говорят, что атаки происходят в нескольких регионах, включая Центральную Америку, Северную Америку, Восточную Азию и Южную Азию. Напомню, что исходно проблема была найдена специалистами TRAPA Security и получила рейтинг 9,8 балла из 10 возможных по шкале оценки уязвимостей CVSS. Этот баг, исправленный в конце апреля, был связан с некорректной обработкой сообщений об ошибках в некоторых версиях брандмауэра и позволял неаутентифицированному злоумышленнику «удаленно выполнять команды, отправляя кастомные пакеты на уязвимое устройство». Проблема затрагивала: ATP (версии ZLD от V4.60 до V5.35, исправлено в ZLD V5.36); USG FLEX (версии ZLD от V4.60 до V5.35, исправлено в ZLD V5.36); VPN (версии ZLD от V4.60 до V5.35, исправлено в ZLD V5.36); ZyWALL/USG (версии ZLD от V4.60 до V4.73, исправлено в ZLD V4.73 Patch 1). В прошлом месяце специалисты Shadowserver Foundation уже предупреждали о том, что уязвимость «активно используется для создания Mirai-ботнета» как минимум с 26 мая 2023 года. Как теперь пишут в Fortinet, после того как в июне состоялся публичный релиз модуля Metasploit, эксплуатирующего эту уязвимость, атака на CVE-2023-28771 заметно участились, и теперь баг взяли на вооружение уже несколько ботнетов. Теперь атаки исходят с нескольких IP-адресов и полагаются на скрипты, адаптированные для архитектуры MIPS. «Эти атаки направлены на уязвимость введения команд в пакеты Internet Key Exchange (IKE), передаваемые по протоколу UDP на устройствах Zyxel. Злоумышленники используют такие инструменты, как curl или wget, для загрузки скриптов и дальнейших действий», — сообщают исследователи. Среди ботнетов, участвующих в этой вредоносной активности, исследователи перечисляют Dark.IoT, существующий с 2021 года, безымянный Mirai-ботнет, а также ботнет ориентированный на DDoS-атаки, который Fortinet связывает с Telegram-группой «SHINJI.APP | Katana botnet». «Похоже, в рамках этой кампании для запуска атак используются несколько серверов, обновляясь каждые нескольких дней, чтобы максимизировать компрометацию устройств Zyxel», — предупреждают в компании.