Hacktivistii exploateaza o vulnerabilitate critica de injectie de comenzi in dispozitivele Zyxel CPE Series, care este in prezent monitorizata ca fiind CVE-2024-40891 si ramane neeliminata din iulie anul trecut.
Vulnerabilitatea permite atacatorilor neautentificati sa execute comenzi arbitrare folosind conturile de serviciu ‘supervisor’ sau ‘zyuser’.
Compania de inteligenta in vulnerabilitati, VulnCheck, a adaugat aceasta problema de securitate in baza sa de date anul trecut pe 12 iulie si a listat-o printre alte probleme exploatate in mediul online pentru acces initial.
Detaliile tehnice despre vulnerabilitate nu au fost dezvaluite public si Zyxel nu a lansat o avertizare de securitate sau un patch pentru CVE-2024-40891, iar problema ramane exploatabila in cea mai recenta versiune de firmware.
Se pare ca hackerii au descoperit cum sa foloseasca vulnerabilitatea si o folosesc in atacuri, deoarece platforma de monitorizare a amenintarilor, GreyNoise, a observat recent activitate de exploatare pornind de la mai multe adrese IP unice.
GreyNoise mentioneaza ca vulnerabilitatea este similara cu CVE-2024-40890, care este bazata pe HTTP. Cu toate acestea, VulnCheck a confirmat ca detectarea actuala a exploatarii este pentru CVE-2024-40891, care nu a fost inca eliminata, fiind bazata pe protocolul telnet.
“GreyNoise observa incercari active de exploatare tintind o vulnerabilitate critica de injectie de comenzi zero-day in dispozitivele Zyxel CPE Series monitorizata ca fiind CVE-2024-40891,” se arata in buletin.
“In acest moment, vulnerabilitatea nu este eliminata si nici nu a fost dezvaluita public. Atacatorii pot folosi aceasta vulnerabilitate pentru a executa comenzi arbitrare pe dispozitivele afectate, ceea ce duce la compromiterea completa a sistemului, exfiltrarea datelor sau infiltrarea in retea” – GreyNoise
Serviciul de scanare a internetului, Censys, raporteaza ca exista peste 1.500 de dispozitive Zyxel CPE Series expuse online in prezent, in principal in Filipine, Turcia, Regatul Unit, Franta si Italia.
Avand in vedere ca nu este disponibila nicio actualizare de securitate pentru a remedia problema, administratorii de sistem ar trebui cel putin sa incerce sa blocheze adresele IP care lanseaza incercarile de exploatare. Cu toate acestea, atacurile de la alte adrese IP sunt in continuare posibile.
Pentru o mitigare suplimentara, se recomanda monitorizarea traficului pentru cereri telnet atipice catre interfetele de management Zyxel CPE si restrictionarea accesului la interfata administrativa doar catre o lista de permitere a anumitor IP-uri.
Daca functiile de management la distanta nu sunt utilizate/necesare, este mai bine sa le dezactivati complet pentru a reduce suprafata de atac.
BleepingComputer a contactat Zyxel cu o solicitare de comentariu, dar inca asteptam raspunsul furnizorului.
Hackerii exploateaza o vulnerabilitate a routerului Four-Faith pentru a deschide shell-uri inverse
Noul spyware Android NoviSpy legat de bug-urile zero-day Qualcomm
Pachetul de administrare Laravel Voyager vulnerabil la o vulnerabilitate de executie a comenzii cu un singur clic
Hackerii exploateaza problemele in SimpleHelp RMM pentru a patrunde in retele
Apple remediaza primul bug zero-day exploatat activ din acest an
Leave a Reply