Hacker

ハッカーは、CVE-2023-28771 として追跡されている Zyxel ネットワーキング デバイスの重大度のコマンド インジェクションの欠陥を広範囲にわたって悪用し、マルウェアをインストールしています。

この脆弱性は、影響を受けるファイアウォールおよび VPN デバイスのデフォルト構成に存在しており、悪用されると、デバイス上の UDP ポート 500 に対して特別に作成された IKEv2 パケットを使用して、認証されていないリモート コードが実行される可能性があります。

Zyxel は2023 年 4 月 25 日にこの脆弱性に対するパッチをリリースし、次の製品バージョンのユーザーに脆弱性を解決するために適用するよう警告しました。

  • ATP – ZLD V4.60 ~ V5.35
  • USG FLEX – ZLD V4.60 ~ V5.35
  • VPN-ZLD V4.60 ~ V5.35
  • ZyWALL/USG – ZLD V4.60 ~ V4.73

本日、CISA はCVE-2023-28771が攻撃者によって積極的に悪用されていることを警告するアラートを発行し、連邦政府機関に対し、利用可能な更新プログラムを 2023 年 6 月 21 日までに適用するよう促しました。

つぶやき

このアラートは、本日の Rapid7 による追加検証と同時に行われ、欠陥の積極的な悪用が確認されました

CVE-2023-28771 を悪用することが確認されたアクティビティ クラスターの 1 つは、Mirai ベースのボットネット マルウェアであり、 Shadowserver によると、2023 年 5 月 26 日に攻撃を開始しました。

同様の活動は前日、サイバーセキュリティ研究者の Kevin Beaumont 氏によって発見され、公開されている PoC (概念実証) エクスプロイトの使用を強調しました。

Mirai の脅威は通常、DDoS (分散型サービス拒否) に限定されますが、他の脅威グループは、組織に対してより強力な攻撃を開始するために、小規模で目立たない悪用を行う可能性があります。

Zyxel は最近、同じファイアウォールと VPN 製品に影響を与える他の 2 つの重大度の欠陥CVE-2023-33009 および CVE-2023-33010 を修正したことにも注意することが重要です。

この 2 つの欠陥により、認証されていない攻撃者が脆弱なデバイスにサービス妨害を課したり、任意のコードを実行したりする可能性があります。

最近の欠陥は悪意のある攻撃者の注意を引く可能性があるため、システム管理者は、利用可能なセキュリティ更新プログラムをできるだけ早く適用して、新たな悪用リスクを軽減する必要があります。

執筆時点では、ユーザーがアップグレードすることが推奨されている利用可能な最新のファームウェア バージョンは、ATP – ZLD、USG FLEX、および VPN-ZLD の場合は「ZLD V5.36 Patch 2」、ZyWALL の場合は「ZLD V4.73 Patch 2」です。 。