Si sta sfruttando un grave difetto nei sistemi di Zyxel, dopo un lungo periodo di inattività.
Hacker sfruttano una vulnerabilità critica in dispositivi Zyxel a fine vita
In una preoccupante evoluzione, gli hacker hanno sfruttato una vulnerabilità critica nel decoder di pacchetti di scambio di chiavi Internet di Zyxel, identificata come CVE-2023-28771. Questo è stato segnalato per la prima volta dai ricercatori di VulnCheck a febbraio, quando hanno evidenziato che i dispositivi legacy di Zyxel stavano diventando un crescente problema per gli hacker.
Gli ultimi tentativi di sfruttamento sono stati osservati lunedì, coinvolgendo 244 indirizzi IP unici, tutti situati negli Stati Uniti e registrati a Verizon Business. Tuttavia, i ricercatori di GreyNoise hanno riferito lunedì che questi nuovi indirizzi IP non erano coinvolti in alcuna attività legata allo sfruttamento nelle ultime due settimane.
La vulnerabilità si trova su UDP (Porta 500), il che fa pensare che gli attaccanti potrebbero aver spoofato quegli indirizzi. Lo sfruttamento di questa vulnerabilità potrebbe consentire a un attaccante di eseguire comandi OS arbitrali sul dispositivo interessato, ponendo un significativo rischio per la sicurezza.
I ricercatori hanno suggerito che l'attività potrebbe essere legata a una variante del botnet Mirai, data la presenza di carichi utili collegati a Mirai. Se confermato, ciò potrebbe significare che gli hacker stanno cercando di iscrivere dispositivi in botnet per attacchi automatizzati come DDoS o scanning.
In un incidente simile, i ricercatori di GreyNoise hanno avvertito degli hacker che stavano prendendo di mira una vulnerabilità - CVE-2024-40891 - nei dispositivi CPE di Zyxel, già a gennaio. Il difetto di iniezione di comandi OS in più modelli di firewall Zyxel, che è stato corretto nel 2023, è stato anche un bersaglio per i botnet DDoS, secondo Fortinet.
Alla luce di questi sviluppi, i team di sicurezza sono stati incoraggiati a bloccare gli IP in questione, applicare eventuali patch sui dispositivi Zyxel esposti a Internet e monitorarli per eventuali attività post-esploit. Al momento della pubblicazione di questo articolo, un portavoce di Verizon Business non era immediatamente disponibile per un commento, e gli ufficiali di Zyxel non hanno risposto a una richiesta di commento.
Questo incidente serve come promemoria per le organizzazioni di mantenere i loro dispositivi aggiornati e sicuri, specialmente quelli che non sono più supportati dal produttore. Restare vigili e attivi nelle misure di cybersecurity è cruciale di fronte alle minacce in continua evoluzione.
Leggi anche:
- "Il governatore Hochul sostiene che le aziende di New York hanno inviato illegalmente prodotti per lo svapo, con particolare attenzione ai bambini"
- Esplorare il nesso: Le infanzie traumatiche alimentano gli antagonisti cinematografici?
- Esplorazione dei regolamenti relativi alle scommesse e al mantenimento del fair play nella scena sportiva contemporanea
- Info: Imminente uscita di EA SPORTS FC 26 con un'espansione delle squadre e delle leghe di calcio disponibili
