Birçok Zyxel güvenlik duvarını etkileyen kritik komut enjeksiyon güvenlik açığı olan CVE-2023-28771, Mirai benzeri bir botnet tarafından aktif olarak kullanılıyor ve CISA’nın Bilinen Yararlı Güvenlik Açıkları (KEV) kataloğuna eklendi.
CVE-2023-28771 hakkında
CVE-2023-28771, kimliği doğrulanmamış saldırganların etkilenen bir cihaza hazırlanmış IKE (İnternet Anahtar Değişimi) paketleri göndererek işletim sistemi komutlarını uzaktan yürütmesine olanak tanıyan bir güvenlik açığıdır.
Nisan 2023’te Zyxel tarafından düzeltildi, teknik yazılar ve PoC’ler halka açıklandıktan sonra saldırganlar tarafından hızla kullanılması bekleniyordu ve öyle oldu.
“İnternet Anahtar Değişimi (IKE) bu açıktan yararlanmayı başlatmak için kullanılan protokol olsa da, bu IKE’nin kendisindeki bir güvenlik açığı değil, ancak onu bir üretim yapısına dönüştürmemesi gereken bu hileli hata ayıklama işlevinin bir sonucu gibi görünüyor. bellenim. Ancak IKE, bu güvenlik açığına giden yolun tetiklenebileceği bilinen tek protokol olduğundan, yalnızca IKE çalıştıran Zyxel cihazlarının bu saldırıya karşı gerçekten savunmasız olması çok daha olasıdır,” diye açıklıyor Censys araştırmacıları.
“Bu güvenlik açığı, sorunlu bir günlük kaydı işlevinden kaynaklanmaktadır. Zyxel, bir dosya tanıtıcısı açıp bu tanıtıcıya veri yazarak güvenli bir dosya işleme mekanizması kullanmak yerine farklı bir yaklaşım seçti: Kullanıcı tarafından kontrol edilen girdi verilerini dahil ederek bir “echo” komutu oluşturdular. Bu yankı komutu daha sonra bir system() çağrısı yoluyla yürütülür ve çıktı /tmp içindeki bir dosyaya yazılır. Bu uygulama, bir işletim sistemi komut enjeksiyon vektörü sunar, çünkü komut oluşturma süreci kullanıcı tarafından kontrol edilebilen girdilerden etkilenebilir ve veri temizleme yoktur.”
CVE-2023-28771 istismar edildi
25 Mayıs civarında başlayan suistimal girişimleri çeşitli siber güvenlik şirketleri ve kuruluşları tarafından takip ediliyor.
Censys, dünya çapında, ancak ağırlıklı olarak Avrupa’da (yani, İtalya, Fransa ve İsviçre) 21.210 potansiyel olarak savunmasız cihaz saptadı.
“Bu cihazlar, hem büyük hem de küçük her türlü konut ve iş ağında konuşlandırılmıştır. Dolayısıyla, bu cihazların bulunabileceği ağların çoğu telekomünikasyon ve diğer hizmet sağlayıcı türleri olacaktır” dediler.
Şimdiye kadar yama uygulanmamış güvenlik açığı bulunan cihazlar, güvenliği ihlal edilmiş olarak kabul edilmelidir ve zaten kaldıraç olmak saldırılarda (örneğin, DDoS saldırıları).
Güvenlik açığını nasıl düzelteceğini bilmeyen kullanıcılar, hizmet sağlayıcılarından yardım istemelidir. Gerekli güncellemeyi zamanında uygulayanların tekrar güncelleme yapmaları önerilir: Zyxel, 24 Mayıs’ta aynı güvenlik duvarlarındaki iki arabellek taşması kusurunu (CVE-2023-33009, CVE-2023-33010) düzeltmek için yeni yamalar yayınladı.