Las organizaciones que aún tienen que parchear una vulnerabilidad de gravedad 9.8 en los dispositivos de red fabricados por Zyxel se han convertido en la molestia pública número 1, ya que un número considerable de ellos continúan siendo explotados y convertidos en botnets que lanzan ataques DDoS.
Zyxel reparó la falla el 25 de abril. Cinco semanas después, Shadowserver, una organización que monitorea las amenazas de Internet en tiempo real, advirtió que muchos firewalls y servidores VPN de Zyxel se habían visto comprometidos en ataques que no mostraban signos de detenerse. La evaluación de Shadowserver en ese momento fue: “Si tiene un dispositivo vulnerable expuesto, asuma el compromiso”.
El miércoles, 12 semanas desde que Zyxel entregó un parche y siete semanas desde que Shadowserver hizo sonar la alarma, la empresa de seguridad Fortinet investigación publicada
Cuando tiene éxito, Mirai convierte los dispositivos en botnets que potencialmente pueden ofrecer ataques de denegación de servicio distribuidos de enormes tamaños.
Aumentando la urgencia de parchear la vulnerabilidad Zyxel, investigadores en junio código de explotación publicado que cualquiera podría descargar e incorporar a su propio software de botnet. A pesar de la amenaza clara e inminente, quedan suficientes dispositivos vulnerables incluso cuando los ataques continúan aumentando, dijo Cara Lin, investigadora de Fortinet, en el informe del jueves. Lin escribió:
Desde la publicación del módulo de explotación, ha habido un aumento sostenido de la actividad maliciosa. El análisis realizado por FortiGuard Labs identificó un aumento significativo en las ráfagas de ataques a partir de mayo, como se muestra en el gráfico de conteo de desencadenantes que se muestra en la Figura 1. También identificamos varias redes de bots, incluida Dark.IoT, una variante basada en Mirai, así como otra red de bots que emplea métodos de ataque DDoS personalizados. En este artículo, brindaremos una explicación detallada de la carga útil entregada a través de CVE-2023-28771 y botnets asociados.
Figura 1: Actividad de ataque de Botnet.
Fortinet
La vulnerabilidad utilizada para comprometer los dispositivos Zyxel, rastreada como CVE-2023-28771, es una vulnerabilidad de inyección de comando no autenticada con una clasificación de gravedad de 9.8. La falla se puede explotar con un paquete IKEv2 especialmente diseñado en el puerto UDP 500 del dispositivo para ejecutar código malicioso. La revelación de Zyxel de la falla es aquí.
CVE-2023-28771 existe en las configuraciones predeterminadas del firewall y los dispositivos VPN del fabricante. Incluyen las versiones de firmware de la serie Zyxel ZyWALL/USG de la 4.60 a la 4.73, las versiones de firmware de la serie VPN de la 4.60 a la 5.35, las versiones de firmware de la serie USG FLEX de la 4.60 a la 5.35 y las versiones de firmware de la serie ATP de la 4.60 a la 5.35.
Lin de Fortinet dijo que durante el mes pasado, los ataques que explotaron CVE-2023-28771 se originaron en distintas direcciones IP y se dirigieron específicamente a la capacidad de inyección de comandos en un paquete de intercambio de claves de Internet transmitido por dispositivos Zyxel. Los ataques se implementan mediante herramientas como curl y wget, que descargan scripts maliciosos de los servidores controlados por el atacante.
Fortinet
Además de Dark.IoT, otro software de botnet que explota la vulnerabilidad incluye Rapperbot y Katana, el último de los cuales está estrechamente vinculado a un canal de Telegram conocido como “SHINJI.APP | Red de bots Katana”.
Dada la capacidad de los exploits para ejecutarse directamente en dispositivos de seguridad confidenciales, uno podría haber asumido que las organizaciones afectadas ya habrían parcheado la vulnerabilidad subyacente. Por desgracia, los continuos intentos exitosos de explotación demuestran que un número no trivial de ellos todavía no lo ha hecho.
“La presencia de vulnerabilidades expuestas en los dispositivos puede generar riesgos significativos”, señaló Lin. “Una vez que un atacante obtiene el control de un dispositivo vulnerable, puede incorporarlo a su botnet, lo que le permite ejecutar ataques adicionales, como DDoS. Para abordar de manera efectiva esta amenaza, es crucial priorizar la aplicación de parches y actualizaciones siempre que sea posible”.