Grinnoise araştırmacıları Pazartesi günü uyardı, bilgisayar korsanları Zyxel’in Internet Key Exchange paket kod çözücüsünde kritik bir güvenlik açığından yararlanıyor.
Güvenlik açığı, CVE-2023-28771Pazartesi günü ani bir sömürü denemesi dalgası güçlendirdi ve araştırmacılar etkinliğe dahil olan 244 benzersiz IP adresini gözlemlediler.
Tüm adresler ABD’de bulunuyordu ve Verizon işine kayıtlıydı, ancak araştırmacılar güvenlik açığının UDP üzerinde bulunduğu için (500 numaralı liman), saldırganların bu adresleri yok etmiş olabileceğini söyledi.
Araştırmacılar, ek analizlerin Mirai Botnet’in bir varyantıyla ilişkili olabileceğini düşündürmektedir.
Geynoise araştırmacıları, siber güvenlik dalışına e-posta yoluyla “Mirai bağlantılı yükler, etkinliğin cihazları DDOS veya tarama gibi otomatik saldırılar için botnetlere kaydetmeyi amaçlayabileceğini gösteriyor” dedi.
Bir OS komutu enjeksiyon kusurunu içeren ve birden fazla güvenlik duvarı modelini etkileyen güvenlik açığı, 2023’ten beri yamalı. O yıl Fortinet, birden fazla dağıtılmış hizmet reddi (DDOS) botnetlerini söyledi güvenlik açığından yararlanmaya çalışıyorlardı.
Grinnoise araştırmacıları Pazartesi günü yaptığı açıklamada, yeni tanımlanan IP adreslerinin önceki iki hafta boyunca istismarla ilgili başka bir faaliyete dahil olmadığını söyledi.
Şirket, güvenlik ekiplerini söz konusu IP’leri derhal engellemeye, internete maruz kalan Zyxel cihazlarını düzeltmeye ve bunları sömürme sonrası etkinlik açısından izlemeye teşvik etti.
Eski Zyxel cihazlarındaki güvenlik açıklarının sömürülmesi artan bir endişe kaynağı olmuştur. Ocak ayında, Geynoise araştırmacıları hackerlar konusunda uyardı bir güvenlik açığını hedeflemek – olarak izlendi CVE-2024-40891 – Zyxel CPE cihazlarında. Benzer şekilde, vulncheck’ten araştırmacılar Şubat ayında bilgisayar korsanlarının yaşam sonu Zyxel cihazlarındaki güvenlik açıklarından yararlanmaya çalıştığı konusunda uyardı.
Verizon Business sözcüsü hemen mevcut değildi. Zyxel yetkilileri yorum talebine hemen yanıt vermedi.