Haber
Bir komut enjeksiyon güvenlik açığı Zyxel CPE serisi cihazlar tehdit aktörleri tarafından hedefleniyor ve mevcut bir yama yok.
CVE-2024-40891 olarak izlenen hata, ilk olarak bir güvenlik açığı istihbarat firması olan Vulncheck tarafından keşfedildi ve geçen Temmuz ayında satıcıya açıklandı. Yarım yıl sonra, Zyxel henüz güvenlik açığını düzeltmedi, hatta bahsetmedi.
Başarılı bir şekilde sömürülürse, CVE-2024-40891, tehdit aktörlerinin enfekte cihazlarda keyfi komutlar yürütmesine izin verebilir ve sonuçta potansiyel olarak sistem uzlaşmasına, ağ sızmasına ve veri sızıntılarına yol açar.
Bu arada Greynoise’deki araştırmacılar, güvenlik açığının sömürülmesi konusunda vulncheck’teki araştırmacılarla koordinasyon sağlıyorlar ve ifşa et Bu hafta gözlemledikleri “çok sayıda saldırı” nedeniyle halka açık.
Ayrıca CVE-2024-40891’in CVE-2024-40890 olarak izlenen bilinen bir soruna çok benzer olduğunu, ikisi arasındaki birincil fark telnet tabanlı ve diğer HTTP tabanlı olduğunu belirtmişlerdir. Bununla birlikte, her ikisi de, “süpervizör” veya “zyuser” rollerinde olsun, yetkili olmayan saldırganların hizmet hesaplarını kullanarak keyfi komutlar yürütmesine izin verir.
Bir yama eksikliği önemli bir sorun olabilir: Censys, Grinnoise’e göre, bazı botnet operatörlerinin hata için istismarlar inşa etmiş gibi görünüyor.
“CVE-2024-40891’den yararlanan IP’ler ile Mirai olarak sınıflandırılanlar arasında önemli bir örtüşme belirledikten sonra, ekip Mirai’nin yeni bir varyantını araştırdı ve CVE-2024-40891’den yararlanma yeteneğinin bazı Mirai suşlarına dahil edildiğini doğruladı.” Araştırmacılar kaydetti.
Mevcut bir düzeltme olmadığından Greynoise, kullanıcıların Zyxel CPE yönetimi arayüzlerine olağandışı istekler için trafiği filtrelemelerini, Zyxel’in güvenlik güncellemelerini bir yama yapıldığını fark etmek için izlemelerini, güvenilir IP’lere idari arayüz erişimini kısıtlamasını ve kullanılmayan uzaktan yönetim özelliklerini devre dışı bırakmasını önerdi. .