CVE-2024-40891 olarak tanımlanan Zyxel CPE serisi cihazlarında önemli bir sıfır günlük güvenlik açığı saldırganlar tarafından aktif olarak sömürülmektedir.
Bu güvenlik açığı, saldırganların etkilenen cihazlarda keyfi komutlar yürütmelerini sağlar ve sistem uzlaşması, veri hırsızlığı ve ağ sızma riskleri oluşturur.
Censys taramalarına göre, 1.500’den fazla enfekte cihazın bu istismara duyarlı olduğu keşfedildi; Güvenlik açığı sabitlenmemiştir veya kamuya açıklanmamıştır.
Bilgisayar korsanları aktif olarak Zyxel 0 gün istismar
Güvenlik açığı, Zyxel CPE cihazlarının telnet arayüzünde bir komut enjeksiyon kusurudur. Kimlik doğrulanmamış saldırganların “Süpervizör” veya “Zyuser” gibi hizmet hesaplarından yararlanarak keyfi komutlar yürütmesine izin verir.
SOC/DFIR ekiplerinden misiniz? -kötü amaçlı yazılım dosyalarını ve bağlantılarını herhangi biriyle analiz edin.
Komut enjeksiyon güvenlik açığı, Zyxel CPE cihazlarının telnet yönetimi arayüzünde yanlış giriş validasyonundan kaynaklanır.
Saldırganlar, özel hazırlanmış telnet istekleri göndererek keyfi sistem komutlarını enjekte edebilir ve yürütebilir. Bu kusur özellikle tehlikelidir, çünkü kimlik doğrulaması gerektirmez, bu da saldırganların geçerli kimlik bilgilerine ihtiyaç duymadan sömürülmesini kolaylaştırır.
Bu sorun, Telnet yerine HTTP’ye dayanan başka bir güvenlik açığı olan CVE-2024-40890’a benzer. Her iki güvenlik açıkları da tamamen kimlik doğrulama mekanizmalarını atladıkları için kritiktir. Geynoise ve Vulncheck’teki araştırmacılar CVE-2024-40891’in sömürülmesini doğruladılar.
Grinnoise, vahşi doğada aktif sömürü girişimlerini gözlemlerken, Vulncheck başlangıçta ortaklarına karşı savunmasızlığı 1 Ağustos 2024’te “Zyxel CPE Telnet Komutanlığı Enjeksiyonu” adı altında açıkladı.
Bu açıklamaya rağmen, Zyxel henüz bu kritik konu için resmi bir danışma veya yama yayınlamamıştır.
Azaltma ve öneriler
Bu güvenlik açığının kritik doğası ve resmi bir yama eksikliği göz önüne alındığında, Zyxel CPE cihazlarını kullanan kuruluşlar derhal harekete geçmelidir:
- Ağ İzleme: Zyxel CPE yönetimi arayüzlerini hedefleyen olağandışı telnet istekleri için trafiği filtreleyin ve izleyin.
- Erişim kısıtlamaları: Yalnızca güvenilir IP adreslerine yönetim arayüzü erişimini sınırlayın.
- Uzaktan Yönetimi Devre Dışı Bırak: Saldırı yüzeylerini azaltmak için kullanılmayan uzaktan yönetim özelliklerini kapatın.
- Yama Hazırlık: Güncellemeler için Zyxel’in güvenlik danışmanlarını düzenli olarak kontrol edin ve piyasaya sürülmez yamalar veya hafifletme uygulayın.
- Cihaz Yaşam Döngüsü Yönetimi: Yaşam sonu destek sürelerine ulaşan cihazları kullanmayı durdurun.
Zyxel CPE cihazlarına dayanan kuruluşlar, satıcıdan resmi bir yama beklerken riskleri azaltmak için hızla hareket etmelidir.
Siber güvenlik uzmanları, bu sıfır gün kusurundan kaynaklanan potansiyel saldırılara karşı korunmak için sürekli izleme ve katı erişim kontrolleri önermektedir.
Jenkins & Jira -> Ücretsiz Web Semineri kullanarak uygulama güvenliğini CI/CD iş akışlarınıza entegre etmek