MĂșltiplos botnets DDoS explorando a vulnerabilidade recente do Zyxel
VĂĄrios botnets distribuĂdos de negação de serviço (DDoS) estĂŁo visando uma vulnerabilidade nos firewalls Zyxel para os quais os patches estĂŁo disponĂveis desde abril, informa a empresa de segurança cibernĂ©tica Fortinet.
Rastreado como CVE-2023-28771 (pontuação CVSS de 9,8), o problema é descrito como um bug de manipulação de mensagem de erro impróprio que leva à execução remota de comandos do sistema operacional.
Em abril, a Zyxel lançou a versĂŁo 5.36 do firmware ATP, USG FLEX e VPN e a versĂŁo 4.73 do firmware ZyWALL/USG Patch 1 para corrigir a falha. No inĂcio de junho, o fabricante pediu aos clientes que atualizassem seus firewalls, depois que uma variante do botnet Mirai foi vista explorando o bug em ataques.
ApĂłs o lançamento pĂșblico de um mĂłdulo Metasploit explorando essa vulnerabilidade em junho, a atividade maliciosa direcionada Ă falha aumentou, com vĂĄrios botnets DDoS adicionando uma exploração CVE-2023-28771 ao seu arsenal.
âEsses ataques visam especificamente a vulnerabilidade de injeção de comando no pacote Internet Key Exchange (IKE) transmitido por UDP em dispositivos Zyxel. Os invasores utilizam ferramentas como curl ou wget para baixar scripts para outras açÔesâ, diz Fortinet.
Originados de vĂĄrios endereços IP distintos, os ataques observados dependem de scripts personalizados para a arquitetura MIPS. Os arquivos de execução identificados, no entanto, foram atualizados com frequĂȘncia, mas exibem vĂĄrias semelhanças.
âParece que esta campanha utilizou vĂĄrios servidores para lançar ataques e se atualizou em poucos dias para maximizar o comprometimento dos dispositivos Zyxelâ, diz a Fortinet.
Algumas das botnets envolvidas nessa atividade maliciosa incluem Dark.IoT, que existe desde 2021, uma variante do Mirai e uma terceira botnet com capacidade para DDoS que foi atualizada no final de junho e que a Fortinet vinculou a um grupo do Telegram chamado âSHINJI.APP | Rede de bots Katanaâ.
âA presença de vulnerabilidades expostas em dispositivos pode levar a riscos significativos. Depois que um invasor obtĂ©m controle sobre um dispositivo vulnerĂĄvel, ele pode incorporĂĄ-lo Ă sua botnet, permitindo que execute ataques adicionais, como DDoSâ, destaca a Fortinet.
