Hackerii exploatează o vulnerabilitate critică de injecție de comenzi în dispozitivele Seria Zyxel CPE care este în prezent urmărită ca CVE-2024-40891 și rămâne neaplicată încă din iulie anul trecut.
Vulnerabilitatea permite atacatorilor neautentificați să execute comenzi arbitrare folosind conturile de serviciu ‘supervisor’ sau ‘zyuser’.
Compania de informații cu privire la vulnerabilități, VulnCheck, a adăugat problema de securitate în baza sa de date anul trecut pe 12 iulie și a listat-o printre alte probleme exploatate în sălbăticie pentru accesul inițial.
Detaliile tehnice privind vulnerabilitatea nu au fost divulgate public și Zyxel nu a lansat un anunț de securitate sau un patch pentru CVE-2024-40891, iar problema rămâne exploatabilă în cea mai recentă versiune de firmware.
Se pare că hackerii au descoperit cum să profite de vulnerabilitate și o folosesc în atacuri, deoarece platforma de monitorizare a amenințărilor GreyNoise a observat recent activitate de exploatare provenind de la mai multe adrese IP unice.
GreyNoise menționează că defectul este similar cu CVE-2024-40890, care este bazat pe HTTP. Cu toate acestea, VulnCheck a confirmat că detectarea actuală a exploatării se referă la CVE-2024-40891 neaplicat, care este bazat pe protocolul telnet.
‘GreyNoise observă încercări active de exploatare vizând o vulnerabilitate de injecție de comenzi critică zero-day în dispozitivele Seria Zyxel CPE urmărită ca CVE-2024-40891’, se arată în buletin.
„În acest moment, vulnerabilitatea nu este remediată, nici nu a fost făcută publică. Atacatorii pot profita de această vulnerabilitate pentru a executa comenzi arbitrare pe dispozitivele afectate, ceea ce duce la compromiterea completă a sistemului, exfiltrarea datelor sau infiltrarea în rețea” – GreyNoise
Serviciul de scanare a internetului Censys raportează că există peste 1.500 de dispozitive Seria Zyxel CPE expuse în prezent online, în principal în Filipine, Turcia, Regatul Unit, Franța și Italia.
Având în vedere că nu este disponibilă nicio actualizare de securitate pentru a remedia problema, administratorii de sistem ar trebui cel puțin să încerce să blocheze adresele IP care lansează încercările de exploatare. Cu toate acestea, atacurile de la alte adrese IP sunt încă posibile.
Pentru o mitigare suplimentară, se recomandă monitorizarea traficului pentru cereri telnet atipice către interfețele de gestionare Zyxel CPE și restricționarea accesului la interfața de administrare doar la o listă de IP-uri specificate.
Dacă funcțiile de management la distanță nu sunt utilizate / necesare, este mai bine să le dezactivați complet pentru a reduce suprafața de atac.
BleepingComputer a contactat Zyxel cu o solicitare de comentariu, dar încă așteptăm răspunsul furnizorului.
Hackerii exploatează o vulnerabilitate a routerului Four-Faith pentru a deschide shell-uri inverse
Noul spyware Android NoviSpy este legat de bug-urile zero-day Qualcomm
Hackerii exploatează probleme în SimpleHelp RMM pentru a sparge rețelele
Apple rezolvă primul bug zero-day exploatat activ din acest an
SonicWall avertizează cu privire la vulnerabilitatea SMA1000 RCE exploatată în atacuri zero-day
Leave a Reply