محققان به مالکان می‌گویند که فایروال‌های Zyxel وصله‌نشده را «مصالحه» فرض کنند

از


محققان به مالکان می‌گویند که فایروال‌های Zyxel وصله‌نشده را «مصالحه» فرض کنند

گتی ایماژ

فایروال های ساخته شده توسط Zyxel در حال تبدیل شدن به یک بات نت مخرب هستند که با سوء استفاده از یک آسیب پذیری اخیراً اصلاح شده با درجه شدت 9.8 از 10 ممکن، کنترل آنها را به دست می گیرد.

مقامات Shadowserver، سازمانی که تهدیدات اینترنتی را در زمان واقعی رصد می‌کند، «در این مرحله، اگر دستگاه آسیب‌پذیری را در معرض دید دارید، مصالحه کنید. هشدار داد چهار روز پیش. مقامات گفتند که این سوءاستفاده‌ها از یک بات‌نت مشابه Mirai می‌آیند که از پهنای باند جمعی هزاران دستگاه اینترنتی در معرض خطر برای آفلاین کردن سایت‌ها با حملات انکار سرویس توزیع شده استفاده می‌کند.

بر اساس داده‌های جمع‌آوری‌شده از Shadowserver در 10 روز گذشته، 25 مورد از 62 دستگاه متصل به اینترنت که «حملات پایین‌دستی» را انجام می‌دهند – به معنای تلاش برای هک کردن سایر دستگاه‌های متصل به اینترنت – توسط Zyxel ساخته شده‌اند که با آدرس‌های IP اندازه‌گیری شده است.

یک آسیب‌پذیری با شدت 9.8 در پیکربندی‌های پیش‌فرض

اشکال نرم‌افزاری که برای به خطر انداختن دستگاه‌های Zyxel استفاده می‌شود به‌عنوان CVE-2023-28771 ردیابی می‌شود، آسیب‌پذیری تزریق دستور تایید نشده با نرخ شدت 9.8. این نقص که Zyxel در 25 آوریل وصله کرد، می تواند برای اجرای کدهای مخرب با یک بسته IKEv2 ساخته شده ویژه در پورت UDP 500 روی دستگاه مورد سوء استفاده قرار گیرد.

آسیب‌پذیری حیاتی در تنظیمات پیش‌فرض فایروال و دستگاه‌های VPN سازنده وجود دارد. آنها شامل نسخه‌های میان‌افزار سری ZyWALL/USG Zyxel نسخه‌های 4.60 تا 4.73، نسخه‌های میان‌افزار سری VPN از 4.60 تا 5.35، نسخه‌های میان‌افزار سری USG FLEX نسخه‌های 4.60 تا 5.35 و نسخه‌های میان‌افزار سری ATP از 4.60 تا 5.35 هستند.

سریال متاثر نسخه تحت تأثیر در دسترس بودن پچ
ATP ZLD V4.60 تا V5.35 ZLD V5.36
USG FLEX ZLD V4.60 تا V5.35 ZLD V5.36
VPN ZLD V4.60 تا V5.35 ZLD V5.36
ZyWALL/USG ZLD V4.60 تا V4.73 ZLD V4.73 Patch 1

روز چهارشنبه، آژانس امنیت سایبری و امنیت زیرساخت، CVE-2023-28771 را در لیست آسیب پذیری های شناخته شده خود قرار داد. این آژانس تا 21 ژوئن به آژانس های فدرال فرصت داده است تا دستگاه های آسیب پذیر را در شبکه های خود تعمیر کنند.

محقق امنیتی کوین بومونت نیز از هفته گذشته نسبت به بهره برداری گسترده از این آسیب پذیری هشدار داده است.

او در Mastodon نوشت: «این #Zyxel vuln در حال حاضر توسط بات‌نت Mirai مورد سوء استفاده گسترده قرار می‌گیرد. “تن لعنتی از جعبه های SMB VPN در اختیار است.”

اندازه گیری های موتور جستجوی Shodan تقریبا 43000 نمونه از دستگاه های Zyxel را نشان می دهد که در معرض اینترنت قرار دارند.

Rapid7 با استفاده از مخفف شبکه گسترده، بخشی از شبکه یک شرکت که از طریق اینترنت قابل دسترسی است، گفت: «این تعداد فقط شامل دستگاه‌هایی می‌شود که رابط‌های وب خود را در شبکه WAN نشان می‌دهند، که یک تنظیم پیش‌فرض نیست». از آنجایی که این آسیب‌پذیری در سرویس VPN است که به طور پیش‌فرض در شبکه WAN فعال است، انتظار داریم تعداد واقعی دستگاه‌های در معرض خطر و آسیب‌پذیر بسیار بیشتر باشد.»

Rapid7 گفت که VPN – مخفف شبکه خصوصی مجازی – برای آسیب پذیر بودن نیازی به پیکربندی روی دستگاه ندارد. دستگاه‌های Zyxel از دیرباز مورد علاقه برای هک بوده‌اند، زیرا در لبه‌های شبکه قرار دارند، جایی که دفاع معمولاً پایین‌تر است. پس از آلوده شدن، مهاجمان از دستگاه‌ها به‌عنوان سکوی پرتابی برای به خطر انداختن دستگاه‌های دیگر در اینترنت یا به‌عنوان نگهدارنده انگشت پا استفاده می‌کنند که می‌تواند به سایر بخش‌های شبکه که به آن تعلق دارند گسترش یابد.

در حالی که بیشتر تمرکز بر روی CVE-2023-28771 است، Rapid7 درباره دو آسیب‌پذیری دیگر – CVE-2023-33009 و CVE-2023-33010 – هشدار داد که Zyxel هفته گذشته آن‌ها را اصلاح کرد. هر دو آسیب‌پذیری دارای امتیاز 9.8 هستند.

با توجه به اینکه عفونت‌های CVE-2023-28771 هنوز پنج هفته پس از رفع مشکل Zyxel رخ می‌دهد، واضح است که بسیاری از دارندگان دستگاه‌ها به‌روزرسانی‌های امنیتی را به موقع نصب نمی‌کنند. اگر بهداشت ضعیف وصله‌کاری به آسیب‌پذیری‌هایی که اخیراً برطرف شده‌اند نیز منتقل شود، احتمالاً به زودی آسیب‌های بیشتری در Zyxel رخ خواهد داد.