ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), aktif istismara ilişkin kanıtlara atıfta bulunarak, Zyxel donanımında yakın zamanda yamalanmış kritik bir güvenlik açığını Bilinen Yararlanmaya Açık Güvenlik Açıkları (KEV) kataloğuna ekledi.
CVE-2023-28771 (CVSS puanı: 9.8) olarak izlenen sorun, farklı güvenlik duvarı modellerini etkileyen ve kimliği doğrulanmamış bir saldırganın cihaza özel hazırlanmış bir paket göndererek rastgele kod yürütmesine olanak tanıyan bir komut enjeksiyon hatasıyla ilgilidir.
Zyxel, 25 Nisan 2023’te yayınlanan güncellemelerin bir parçası olarak güvenlik açığını giderdi. Etkilenen cihazların listesi aşağıdadır –
- ATP (ZLD V4.60 – V5.35 sürümleri, ZLD V5.36’da yamalı)
- USG FLEX (ZLD V4.60 – V5.35 sürümleri, ZLD V5.36’da yamalı)
- VPN (ZLD V4.60 – V5.35 sürümleri, ZLD V5.36’da yamalı) ve
- ZyWALL/USG (ZLD V4.60 – V4.73 sürümleri, ZLD V4.73 Yama 1’de yamalı)
Shadowserver Vakfı, bir son tweetkusurun 26 Mayıs 2023’ten beri “Mirai benzeri bir botnet oluşturmak için aktif olarak kullanıldığını” söyledi. Siber güvenlik firması Rapid7 ayrıca CVE-2023-28771’in “yaygın” vahşi kötüye kullanımı konusunda uyarıda bulundu.
Bu gelişmenin ışığında, kullanıcıların potansiyel riskleri azaltmak için yamaları uygulamak için hızlı hareket etmesi zorunludur. ABD’deki federal kurumlar, cihazlarını 21 Haziran 2023’e kadar güncellemekle yükümlüdür.
Sıfır Güven + Aldatma: Saldırganları Zekanızla Nasıl Alt Edeceğinizi Öğrenin!
Deception’ın gelişmiş tehditleri nasıl algılayabildiğini, yanal hareketi nasıl durdurabildiğini ve Sıfır Güven stratejinizi nasıl geliştirebildiğini keşfedin. Bilgilendirici web seminerimize katılın!
Koltuğumu Kurtar!
Açıklama ayrıca, Palo Alto Networks Unit 42’nin, Nisan 2023’ün başlarından bu yana IZ1H9 olarak adlandırılan aktif bir Mirai botnet varyantı tarafından düzenlenen yeni bir saldırı dalgasını ayrıntılı olarak açıklamasıyla birlikte geliyor.
İzinsiz girişlerin, Zyxel dahil internete maruz kalan IoT cihazlarındaki çoklu uzaktan kod yürütme kusurlarından yararlanarak, onları dağıtılmış hizmet reddi (DDoS) saldırılarını düzenlemek için bir ağa hapsettiği bulundu.
Kaynak kodu Ekim 2016’da sızdırıldığından beri Mirai’nin bir dizi klon ürettiğini belirtmekte fayda var.
Unit 42, “IoT cihazları, tehdit aktörleri için her zaman kazançlı bir hedef olmuştur ve uzaktan kod yürütme saldırıları, IoT cihazlarını ve linux sunucularını etkileyen en yaygın ve en endişe verici tehditler olmaya devam ediyor” dedi.
“Bu tehdit tarafından kullanılan güvenlik açıkları daha az karmaşık, ancak yine de uzaktan kod yürütülmesine yol açabilecekleri için bu, etkilerini azaltmıyor.”