Ani ve yüksek koordineli bir siber saldırı dalgası, bilgisayar korsanları CVE-2023-28771 olarak izlenen kritik bir uzaktan kumanda (RCE) güvenlik açığı kullandığı için dünya çapında Zyxel güvenlik duvarı ve VPN cihazlarını vurdu.
16 Haziran 2025’te gözlemlenen saldırılar, sistem komutlarını uzaktan enjekte etmek ve potansiyel olarak takılmamış zyxel cihazların tam kontrolünü ele geçirmek için UDP bağlantı noktası 500’den (İnternet Anahtarı Değişimi (IKE) paket kod çözücü) kaldırıldı.
| Bağlanmak | Detaylar |
| CVE kimliği | CVE-2023-28771 |
| Güvenlik Açığı Türü | İşletim Sistemi Komut Enjeksiyonu (Uzak Kod Yürütme) |
| Şiddet (CVSS v3.1) | 9.8 (kritik) |
Grinnoise, 16 Haziran’da kısa bir zaman penceresinde yoğun bir istismar girişimi patlaması bildirdi.
.png
)
İlgili 244 benzersiz IPS, önceki iki hafta içinde daha önce tarama veya istismar faaliyetinde görülmemişti, bu da sadece bu zyxel kusurunu kullanmaya odaklanan kasıtlı, senkronize bir kampanyayı gösterdi.
Saldırı trafiği tek bir bölge ile sınırlı değildi; Bunun yerine, ABD, İngiltere, İspanya, Almanya ve Hindistan’daki organizasyonları hedef aldı – işletmelerde ve devlet kurumlarında önemli bir zyxel cihaz varlığı olan toplantılar.
Teknik analiz
CVE-2023-28771, ATP (Gelişmiş Tehdit Koruması), USG FLEX, VPN Serisi ve Zywall/USG, Zywall/USG için ürün yazılımı sürümleri arasında ATP (gelişmiş tehdit koruması), USG Flex, VPN serisi ve Zywall/USG arasında kritik bir komut enjeksiyon güvenlik açığıdır (CVSS 9.8).
Saldırganlar, UDP bağlantı noktası 500’e tek, özel olarak hazırlanmış bir IKE paketi göndererek kusurdan yararlanarak kimliği doğrulanmamış uzaktan kod yürütmeyi tetikleyebilir.
Yüklerin ve IP meta verilerinin daha derin analizi, Mirai Botnet varyantlarıyla tutarlı göstergeler ortaya çıkardı, bu da tehlikeye atılmış cihazların daha fazla saldırı veya dağıtılmış Hizmet Reddi (DDOS) kampanyaları için büyük ölçekli botnetlere yerleştirilebileceğini düşündürmektedir.
Gözlenen tüm kötü niyetli IP’ler Verizon işine kayıtlıdır ve ABD’de yerleşiktir; Bununla birlikte, saldırının UDP tabanlı doğası nedeniyle, IP sahtekarlığı mümkündür.
Bu, tehdit aktörlerinin gerçek kökeni hakkında şüphe uyandırır ve atıf çabalarını karmaşıklaştırır.
Savunma önerileri
- Hemen Yama: CVE-2023-28771’i ele almak için tüm Zyxel cihazlarının en son ürün yazılımı ile güncellendiğinden emin olun.
- Kötü niyetli IP’leri bloke: Sahtekarlık risklerine rağmen, greynoise tarafından tanımlanan 244 IP’leri engelleyin ve ilgili aktivite için monitör.
- UDP Port 500 pozlamasını kısıtlayın: Ağ filtreleme yoluyla IKE/UDP bağlantı noktası 500’ün gereksiz maruziyetini sınırlayın.
- Anomaliler için Monitör: Olağandışı süreç davranışı veya BOTNET kaydı gibi sömürü sonrası belirtileri izleyin.
- Cihaz maruziyetini inceleyin: Gereksiz hizmetlerin İnternet’e maruz kalmadığını ve mümkün olduğunca WAN yönetimini devre dışı bıraktığını doğrulayın.
Bu olay, Zyxel cihazlarına dayanan kuruluşlar için zamanında yama yönetimi ve uyanık ağ izlemenin aciliyetinin altını çizmektedir.
Saldırganlar giderek daha fazla istismarları otomatikleştirerek ve botnetlerden yararlanarak, açılmamış cihazlar küresel saldırı kampanyalarında hızlı uzlaşma ve askere alınması için ana hedefler olmaya devam ediyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin