Hackerii exploatează o vulnerabilitate critică de injecție de comenzi în dispozitivele Zyxel CPE Series, care este în prezent urmărită ca CVE-2024-40891 și rămâne neacoperită din iulie anul trecut.
Vulnerabilitatea permite atacatorilor neautentificați să execute comenzi arbitrare folosind conturile de serviciu ‘supervisor’ sau ‘zyuser’.
Compania de informații despre vulnerabilități, VulnCheck, a adăugat problema de securitate în baza sa de date anul trecut, pe 12 iulie, și a listat-o printre alte probleme exploatate în sălbăticie pentru accesul inițial.
Detaliile tehnice despre vulnerabilitate nu au fost divulgate public, iar Zyxel nu a lansat un avertisment de securitate sau un patch pentru CVE-2024-40891, iar problema rămâne exploatabilă în cea mai recentă versiune de firmware.
Se pare că hackerii au descoperit cum să profite de vulnerabilitate și o folosesc în atacuri, deoarece platforma de monitorizare a amenințărilor GreyNoise a observat recent activități de exploatare provenind de la mai multe adrese IP unice.
GreyNoise menționează că vulnerabilitatea este similară cu CVE-2024-40890, care este bazată pe HTTP. Cu toate acestea, VulnCheck a confirmat că detectarea actuală a exploatării este pentru CVE-2024-40891 neacoperită, care se bazează pe protocolul telnet.
„GreyNoise observă încercări active de exploatare vizând o vulnerabilitate critică de injecție de comenzi zero-day în dispozitivele Zyxel CPE Series urmărită ca CVE-2024-40891,” se arată în buletin.
„În acest moment, vulnerabilitatea nu este remediată și nici nu a fost făcută publică. Atacatorii pot profita de această vulnerabilitate pentru a executa comenzi arbitrare pe dispozitivele afectate, ducând la compromiterea completă a sistemului, exfiltrarea datelor sau infiltrarea în rețea” – GreyNoise
Serviciul de scanare a internetului Censys raportează că există mai mult de 1.500 de dispozitive Zyxel CPE Series expuse în prezent online, în principal în Filipine, Turcia, Regatul Unit, Franța și Italia.
Având în vedere că nu există o actualizare de securitate disponibilă pentru a remedia problema, administratorii de sistem ar trebui cel puțin să încerce să blocheze adresele IP care lansează încercările de exploatare. Cu toate acestea, atacurile din alte adrese IP sunt încă posibile.
Pentru o mitigare suplimentară, se recomandă monitorizarea traficului pentru cereri telnet atipice către interfețele de management Zyxel CPE și restricționarea accesului la interfața administrativă doar la o listă de IP-uri specificate.
Dacă funcțiile de management de la distanță nu sunt utilizate/necesare, este mai bine să le dezactivați complet pentru a reduce suprafața de atac.
BleepingComputer a contactat Zyxel cu o solicitare de comentariu, dar încă așteptăm răspunsul producătorului.
Hackerii exploatează o vulnerabilitate în routerul Four-Faith pentru a deschide shell-uri inverse
Noul spyware Android NoviSpy este legat de bug-urile zero-day Qualcomm
Pachetul de administrare Laravel Voyager este vulnerabil la o vulnerabilitate de execuție a codului cu un singur clic
Hackerii exploatează vulnerabilități în SimpleHelp RMM pentru a sparge rețelele
Apple rezolvă primul bug zero-day exploatat activ din acest an
Leave a Reply