Bilgisayar korsanları, kötü amaçlı yazılım yüklemek için Zyxel ağ cihazlarında CVE-2023-28771 olarak izlenen kritik önem dereceli bir komut enjeksiyon kusurundan yaygın olarak yararlanıyor.
Etkilenen güvenlik duvarı ve VPN cihazlarının varsayılan yapılandırmasında bulunan kusur, cihazdaki UDP bağlantı noktası 500’e özel hazırlanmış bir IKEv2 paketi kullanılarak kimliği doğrulanmamış uzaktan kod yürütme gerçekleştirmek için kullanılabilir.
Zyxel, 25 Nisan 2023’te güvenlik açığı için yamalar yayınlayarak aşağıdaki ürün sürümlerinin kullanıcılarını güvenlik açığını gidermek için uygulamaları konusunda uyardı:
- ATP – ZLD V4.60 – V5.35
- USG FLEX – ZLD V4.60 – V5.35
- VPN-ZLD V4.60’tan V5.35’e
- ZyWALL/USG – ZLD V4.60’tan V4.73’e
Bugün CISA, CVE-2023-28771’in saldırganlar tarafından aktif olarak kullanıldığına dair bir uyarı yayınladı ve federal kurumları 21 Haziran 2023’e kadar mevcut güncellemeyi uygulamaya çağırdı.
.jpg)
Bu uyarı, kusurun aktif olarak kullanıldığını doğrulayan Rapid7’nin bugün yaptığı ek doğrulama ile aynı zamana denk geliyor.
CVE-2023-28771’den yararlandığı onaylanan etkinlik kümelerinden biri, Mirai tabanlı bir botnet kötü amaçlı yazılımıdır. Shadowserver’a göre26 Mayıs 2023’te saldırılar düzenlemeye başladı.
Benzer bir etkinlik, bir gün önce halka açık bir PoC (kavram kanıtı) istismarının kullanıldığını vurgulayan siber güvenlik araştırmacısı Kevin Beaumont tarafından tespit edildi.
Mirai tehdidi tipik olarak DDoS (dağıtılmış hizmet reddi) ile sınırlı olsa da, diğer tehdit grupları kuruluşlara karşı daha güçlü saldırılar başlatmak için daha düşük ölçekli ve daha az fark edilen istismarlara girişebilir.
Zyxel’in yakın zamanda aynı güvenlik duvarı ve VPN ürünlerini etkileyen CVE-2023-33009 ve CVE-2023-33010 gibi diğer iki kritik önem dereceli kusuru düzelttiğine dikkat etmek de önemlidir.
İki kusur, kimliği doğrulanmamış saldırganların savunmasız cihazlarda hizmet reddi uygulamasına veya rastgele kod yürütmesine izin verebilir.
Daha yeni kusurlar kötü niyetli aktörlerin dikkatini çekeceğinden, sistem yöneticileri ortaya çıkan istismar risklerini azaltmak için mevcut güvenlik güncellemelerini mümkün olan en kısa sürede uygulamalıdır.
Yazma sırasında, kullanıcıların yükseltme yapması önerilen en son ürün yazılımı sürümü ATP – ZLD, USG FLEX ve VPN-ZLD için ‘ZLD V5.36 Yama 2’ ve ZyWALL için ‘ZLD V4.73 Yama 2’dir. .