Language
banner
Centro de Noticias
Buscamos activamente productos nuevos e innovadores para satisfacer la demanda de los clientes en todo el mundo.
Hogar > Blog

Cortafuegos Zyxel bajo ataque de Mirai

Mar 30, 2023

CVE-2023-28771, la vulnerabilidad crítica de inyección de comandos que afecta a muchos firewalls Zyxel, está siendo explotada activamente por una red de bots similar a Mirai y se ha agregado al catálogo de vulnerabilidades explotadas conocidas (KEV) de CISA.

CVE-2023-28771 es una vulnerabilidad que permite a los atacantes no autenticados ejecutar comandos del sistema operativo de forma remota mediante el envío de paquetes IKE (intercambio de claves de Internet) manipulados a un dispositivo afectado.

Reparado por Zyxel en abril de 2023, se esperaba que los atacantes lo explotaran rápidamente una vez que se hicieran públicos los informes técnicos y las PoC, y así sucedió.

"Si bien Internet Key Exchange (IKE) es el protocolo utilizado para iniciar este exploit, no es una vulnerabilidad en IKE en sí, pero parece ser el resultado de esta función de depuración no autorizada que no debería haberse convertido en una versión de producción del firmware. Pero dado que IKE es el único protocolo conocido donde se puede activar la ruta a esta vulnerabilidad, es mucho más probable que solo los dispositivos Zyxel que ejecutan IKE sean realmente vulnerables a este ataque ", explicaron los investigadores de Censys.

"Esta vulnerabilidad proviene de una función de registro problemática. En lugar de emplear un mecanismo seguro de manejo de archivos al abrir un identificador de archivo y escribir datos en ese identificador, Zyxel eligió un enfoque diferente: Construyeron un comando de "eco" incorporando entrada controlada por el usuario. datos. Este comando de eco se ejecuta posteriormente a través de una llamada system (), escribiendo la salida en un archivo en /tmp. Esta implementación introduce un vector de inyección de comando del sistema operativo, ya que el proceso de construcción del comando puede verse influenciado por la entrada controlable por el usuario, y no no hay desinfección de datos".

Los intentos de explotación comenzaron alrededor del 25 de mayo y están siendo rastreados por varias empresas y organizaciones de ciberseguridad.

Censys identificó 21,210 dispositivos potencialmente vulnerables en todo el mundo, pero predominantemente en Europa (es decir, Italia, Francia y Suiza).

"Estos dispositivos se implementan en todo tipo de redes residenciales y comerciales, tanto grandes como pequeñas. Por lo tanto, la mayoría de las redes en las que se pueden encontrar estos dispositivos serán de telecomunicaciones y otros tipos de proveedores de servicios", señalaron.

Los dispositivos vulnerables que aún no han sido parcheados deben considerarse comprometidos y ya están siendo aprovechados en ataques (por ejemplo, ataques DDoS).

Los usuarios que no saben cómo remediar el compromiso deben pedir ayuda a su proveedor de servicios. Se recomienda a aquellos que implementaron la actualización necesaria a tiempo que actualicen nuevamente: Zyxel lanzó nuevos parches para corregir dos fallas de desbordamiento de búfer (CVE-2023-33009, CVE-2023-33010) en esos mismos firewalls el 24 de mayo.

Anteriores
Volver a la lista
Próximo