Dalış Özeti:
- Birçok hükümet yetkilisi ve güvenlik araştırmacısı, Zyxel Networks güvenlik duvarlarında, tehdit aktörlerinin Helldown fidye yazılımını dağıtmak için aktif olarak yararlandığı bir dizin geçiş güvenlik açığı konusunda uyarıda bulunuyor.
- Olarak listelenen güvenlik açığı CVE-2024-11667CVSS puanı 7,5 olanZyxel ZLD güvenlik duvarı donanım yazılımı sürümleri 5.00 ila 5.38’in web yönetimi arayüzünde bulunur ve bir saldırganın hazırlanmış bir URL aracılığıyla dosya indirmesine veya yüklemesine izin verebilir. Siber Güvenlik ve Altyapı Güvenliği Ajansı Salı günü CVE’yi bilinen istismar edilen güvenlik açıkları kataloğuna ekledi.
- Zyxel bir blog yazısında bunu doğruladı güvenlik açığından yararlanmaya yönelik son girişimlerin farkındadırSekoia’daki güvenlik araştırmacılarının açıklamalarının ardından. Şirket, kullanıcıları derhal ürün yazılımlarını güncellemeye ve yönetici şifrelerini değiştirmeye çağırıyor.
Dalış Bilgisi:
Almanya’daki yetkililer Zyxel yetkililerinin yanı sıra Kasım ayının sonlarında Zyxel güvenlik duvarlarındaki güvenlik açığının Helldown fidye yazılımını dağıtmak için kullanıldığı konusunda uyardılar.
Alman yetkililer Çarşamba günü Cybersecurity Dive’a Helldown’un çeşitli fidye yazılımı sürümlerini oluşturmak için temel olarak kullanılan LockBit fidye yazılımının halka açık oluşturucusunu temel aldığını söyledi.
Alman CERT’in bir sözcüsüne göre Helldown ilk kez ağustos ayında gözlemlendi ve 21 Kasım’da site erişime kapatılmadan önce sızıntı sitesinde yaklaşık 32 kurbanın ismi verildi.
Hedeflenenlerin çoğu şirketler küçük ve orta ölçekliydiancak Sekoia’ya göre birkaçı daha büyük kuruluşlardı. Kurbanların çoğu ABD’de bulunuyordu.
Sekoia’dan araştırmacılar, Cybersecurity Dive’a, bazı kurbanların güvenlik duvarlarının artık desteklenmeyen kullanım ömrü sonu sürümlerini kullandığını, ancak diğerlerinin hala desteklenen donanım yazılımına sahip daha yeni sürümleri kullandığını söyledi.
Truesec’ten araştırmacılar saldırganların Zyxel güvenlik duvarlarında yerel hesaplar kurduğunun ve kimlik bilgilerini hedeflenen şirketlerin aktif dizinine aktarmak için Mimikatz’ı indirdiğinin gözlemlendiğini söyledi. Saldırganlar ayrıca GitHub’dan gelişmiş bağlantı noktası tarayıcıları da indirdiler.
Araştırmacılar, saldırganların antivirüs yazılımını devre dışı bıraktığını ve hedeflenen ağlarda dolaşmak için Teamviewer’ı dağıttığını veya varsayılan Windows Uzak Masaüstü Protokolü araçlarını kullandığını gördü.