Hackers exploit critical unpatched flaw in Zyxel CPE devices

ハッカーは、現在 CVE-2024-40891 として追跡されており、昨年 7 月以来パッチが適用されていない Zyxel CPE シリーズデバイスの重大なコマンドインジェクションの脆弱性を悪用しています。

この脆弱性は、認証されていない攻撃者が「supervisor」または「zyuser」サービスアカウントを使用して任意のコマンドを実行することを可能にします。

脆弱性情報会社のVulnCheckは、昨年7月12日にこのセキュリティ問題をデータベースに追加し、初期アクセスで悪用される他の問題の中にリストアップした。

この脆弱性に関する技術的な詳細は公表されておらず、Zyxelはセキュリティ勧告やCVE-2024-40891に対するパッチをリリースしていない。

脅威モニタリング・プラットフォームGreyNoiseは、複数のユニークなIPアドレスから発信された脆弱性を悪用する活動を最近観測しているため、ハッカーは脆弱性を利用する方法を発見し、攻撃に利用しているようだ。

Exploitation activity
悪用活動
Source:グレイノイズ

GreyNoiseは、この欠陥はHTTPベースのCVE-2024-40890と類似していると指摘している。しかし、VulnCheckは、現在の悪用検知は、telnetプロトコルに基づくパッチ未適用のCVE-2024-40891に対するものであることを確認しています。

「GreyNoiseは、CVE-2024-40891として追跡されているZyxel CPEシリーズ・デバイスのゼロデイ重大なコマンド・インジェクション脆弱性を標的とした、アクティブな悪用の試みを観測しています。

「現時点では、この脆弱性にはパッチが適用されておらず、一般にも公開されていません。攻撃者はこの脆弱性を利用して、影響を受けるデバイス上で任意のコマンドを実行し、完全なシステム侵害、データ流出、ネットワーク侵入につながる可能性がある」 –GreyNoise

インターネット・スキャン・サービスのCensysによると、現在オンラインで公開されているZyxel CPEシリーズのデバイスは1,500台以上あり、そのほとんどがフィリピン、トルコ、英国、フランス、イタリアにある。

この問題に対処するためのセキュリティ・アップデートが提供されていないことを考慮すると、システム管理者は少なくとも、悪用を試みているIPアドレスをブロックするよう試みる必要がある。しかし、他のIPアドレスからの攻撃も可能である。

さらなる対策として、Zyxel CPE の管理インターフェイスへの非定型の Telnet リクエストのトラフィックを監視し、管理インターフェイスへのアクセスを指定された IP 許可リストにのみ制限することをお勧めします。

リモート管理機能を使用しない/必要としない場合は、完全に無効にして攻撃対象領域を減らすことをお勧めします。

ザイクセル社にコメントを求めましたが、ベンダーからの回答を待っているところです。