Múltiplos botnets DDoS explorando a vulnerabilidade recente do Zyxel

Vários botnets distribuídos de negação de serviço (DDoS) estão visando uma vulnerabilidade nos firewalls Zyxel para os quais os patches estão disponíveis desde abril, informa a empresa de segurança cibernética Fortinet.

Rastreado como CVE-2023-28771 (pontuação CVSS de 9,8), o problema é descrito como um bug de manipulação de mensagem de erro impróprio que leva à execução remota de comandos do sistema operacional.

Em abril, a Zyxel lançou a versão 5.36 do firmware ATP, USG FLEX e VPN e a versão 4.73 do firmware ZyWALL/USG Patch 1 para corrigir a falha. No início de junho, o fabricante pediu aos clientes que atualizassem seus firewalls, depois que uma variante do botnet Mirai foi vista explorando o bug em ataques.

Após o lançamento público de um módulo Metasploit explorando essa vulnerabilidade em junho, a atividade maliciosa direcionada à falha aumentou, com vários botnets DDoS adicionando uma exploração CVE-2023-28771 ao seu arsenal.

“Esses ataques visam especificamente a vulnerabilidade de injeção de comando no pacote Internet Key Exchange (IKE) transmitido por UDP em dispositivos Zyxel. Os invasores utilizam ferramentas como curl ou wget para baixar scripts para outras ações”, diz Fortinet.

Originados de vários endereços IP distintos, os ataques observados dependem de scripts personalizados para a arquitetura MIPS. Os arquivos de execução identificados, no entanto, foram atualizados com frequência, mas exibem várias semelhanças.

“Parece que esta campanha utilizou vários servidores para lançar ataques e se atualizou em poucos dias para maximizar o comprometimento dos dispositivos Zyxel”, diz a Fortinet.

Algumas das botnets envolvidas nessa atividade maliciosa incluem Dark.IoT, que existe desde 2021, uma variante do Mirai e uma terceira botnet com capacidade para DDoS que foi atualizada no final de junho e que a Fortinet vinculou a um grupo do Telegram chamado “SHINJI.APP | Rede de bots Katana”.

“A presença de vulnerabilidades expostas em dispositivos pode levar a riscos significativos. Depois que um invasor obtém controle sobre um dispositivo vulnerável, ele pode incorporá-lo à sua botnet, permitindo que execute ataques adicionais, como DDoS”, destaca a Fortinet.