São Paulo — InkDesign News — Uma grave vulnerabilidade de segurança, identificada como CVE-2023-28771, está afetando dispositivos de rede Zyxel. Pesquisadores de segurança da GreyNoise detectaram um aumento abrupto nas tentativas de exploração dessa falha em 16 de junho.
Incidente e vulnerabilidade
A vulnerabilidade permite a execução remota de código, possibilitando que atacantes executem programas em dispositivos vulneráveis à distância. Essa fraqueza reside na forma como os dispositivos Zyxel tratam pacotes de troca de chave da internet (IKE) que chegam pela porta UDP 500. A atividade registrada em 16 de junho revelou um total de 244 endereços de internet tentando explorar a falha em um único dia.
Impacto e resposta
Os ataques foram direcionados a dispositivos em diversos países, incluindo Índia, Espanha, Alemanha, Estados Unidos e Reino Unido. A investigação dos endereços de internet atacantes revelou que todos estavam registrados sob a infraestrutura da Verizon Business e pareciam originar-se dos Estados Unidos. No entanto, a utilização da porta UDP 500 permite a falsificação de endereços, ocultando assim a verdadeira origem dos ataques. Análises posteriores sugeriram que essas atividades poderiam estar ligadas a variantes do botnet Mirai, um tipo de malware projetado para infectar dispositivos.
“As atividades observadas parecem ser da atividade do botnet Mirai”,
(“The activity observed appears to be the Mirai botnet activity.”)— Martin Jartelius, CISO da Outpost24
Mitigações recomendadas
Em resposta a essas ameaças ativas, especialistas em segurança estão aconselhando ações imediatas. É recomendado bloquear todos os 244 endereços IP identificados como maliciosos e verificar se os dispositivos Zyxel conectados à internet possuem os patches de segurança necessários para a CVE-2023-28771. Os proprietários de dispositivos devem monitorar qualquer atividade suspeita após tentativas de exploração, pois isso pode levar a compromissos adicionais ou à inclusão dos dispositivos em um botnet. Além disso, é aconselhável limitar a exposição desnecessária da porta IKE/UDP 500 por meio da aplicação de filtros de rede.
“Para alguém se tornar uma vítima agora, deveria ter adquirido um dispositivo vulnerável, implantá-lo sem atualizações e expô-lo à internet, mesmo sabendo que está em um estado vulnerável”,
(“For someone to fall victim now, they would have had to obtain a vulnerable device, deploy it without updates, and expose it to the internet, even though it’s in a known vulnerable state.”)— Martin Jartelius, CISO da Outpost24
Ainda que medidas de contenção estejam em andamento, os riscos residuais permanecem significativos. Os usuários devem estar vigilantes em relação a padrões de tráfego incomuns e implementar as correções necessárias para garantir a segurança de seus dispositivos Zyxel.
Fonte: (Hack Read – Segurança Cibernética)
