Siber güvenlik araştırmacıları, Zyxel CPE serisi cihazlarını etkileyen kritik bir sıfır günlük güvenlik açığının vahşi doğada aktif sömürü girişimleri gördüğünü uyarıyor.
Grinnoise araştırmacısı Glenn Thorpe Salı günü yayınlanan bir uyarıda, “Saldırganlar, etkilenen cihazlarda keyfi komutlar yürütmek için bu güvenlik açığından yararlanabilir, bu da sistem uzlaşmasına, veri açığa çıkmasına veya ağ sızmasına neden olabilir.” Dedi.
Söz konusu güvenlik açığı, ne kamuya açıklanmamış ne de yamalı olmayan kritik bir komut enjeksiyon güvenlik açığı olan CVE-2024-40891’dir. Hatanın varlığı ilk olarak Vulncheck tarafından Temmuz 2024’te bildirildi.
Tehdit istihbarat firması tarafından toplanan istatistikler, saldırı girişimlerinin düzinelerce IP adresinden kaynaklandığını gösteriyor ve bunların çoğunluğu Tayvan’da bulunuyor. Censys’e göre, çevrimiçi 1.500’den fazla savunmasız cihaz var.
Geynoise, “CVE-2024-40891, CVE-2024-40890’a çok benzer, temel fark, ikincisinin HTTP tabanlı iken Telnet tabanlı olmasıdır.” “Her iki güvenlik açığı da kimlik doğrulanmamış saldırganların hizmet hesaplarını kullanarak keyfi komutlar yürütmesine izin veriyor.”
Vulncheck, Hacker News’e Tayvanlı şirketle açıklama sürecinde çalıştığını söyledi. Daha fazla yorum için Zyxel’e ulaştık ve tekrar duyarsak hikayeyi güncelleyeceğiz.
Bu arada, kullanıcılara Zyxel CPE yönetimi arayüzlerine olağandışı HTTP istekleri için trafiği filtrelemeleri ve güvenilir IP’lere idari arayüz erişimini kısıtlamaları tavsiye edilir.
Geliştirme, Arctic Wolf’un 22 Ocak 2025’ten itibaren bir kampanya gözlemlediğini ve bu da ilk erişim vektörü olarak SimpleHelp uzak masaüstü yazılımını çalıştıran cihazlara yetkisiz erişim elde etmeyi içerdiğini bildirdiği gibi geliyor.
Şu anda, saldırıların, kötü bir aktörün ayrıcalıkları artırmasına izin verebilecek üründeki (CVE-2024-57727, CVE-2024-57727 ve CVE-2024-57728) yakın zamanda açıklanan güvenlik kusurlarının kullanımı ile bağlantılı olup olmadığı bilinmemektedir. yönetim kullanıcıları ve keyfi dosyalar yükleyin.
Güvenlik araştırmacısı Andres Ramos, “İlk uzlaşma belirtileri, müşteri sürecinden onaylanmamış bir SimpleHelp sunucu örneğine iletişim idi.” Dedi. “Tehdit faaliyeti ayrıca, net ve nlTest gibi araçları kullanarak bir SimpleHelp oturumu ile başlatılan bir CMD.EXE süreci aracılığıyla hesapların ve etki alanı bilgilerinin numaralandırılmasını da içeriyordu. Tehdit aktörlerinin, saldırı ilerlemeden önce sonlandırıldığı için hedeflere göre hareket etmedi. daha öte.”
Kuruluşlara, potansiyel tehditlere karşı güvence altına almak için basit kullanılabilir örneklerini mevcut en son sabit sürümlere güncellemeleri şiddetle tavsiye edilir.