Italiano 
English
Français
Deutsch
Español
Português
日本語
한국어
Русский
Firewall Zyxel sotto attacco da Mirai
CVE-2023-28771, la vulnerabilità critica di command injection che colpisce molti firewall Zyxel, viene attivamente sfruttata da una botnet simile a Mirai ed è stata aggiunta al catalogo delle vulnerabilità sfruttate note (KEV) di CISA.
CVE-2023-28771 è una vulnerabilità che consente agli aggressori non autenticati di eseguire comandi del sistema operativo in remoto inviando pacchetti IKE (Internet Key Exchange) predisposti a un dispositivo interessato.
Risolto da Zyxel nell'aprile 2023, si prevedeva che sarebbe stato rapidamente sfruttato dagli aggressori una volta resi pubblici resoconti tecnici e PoC, e così è successo.
"Sebbene Internet Key Exchange (IKE) sia il protocollo utilizzato per avviare questo exploit, non si tratta di una vulnerabilità nell'IKE stesso, ma sembra essere il risultato di questa funzione di debug canaglia che non avrebbe dovuto essere inserita in una build di produzione del firmware. Ma poiché IKE è l'unico protocollo noto in cui è possibile attivare il percorso verso questa vulnerabilità, è molto più probabile che solo i dispositivi Zyxel che eseguono IKE siano effettivamente vulnerabili a questo attacco", hanno spiegato i ricercatori di Censys.
"Questa vulnerabilità deriva da una funzione di registrazione problematica. Invece di utilizzare un meccanismo sicuro di gestione dei file aprendo un handle di file e scrivendo dati su quell'handle, Zyxel ha scelto un approccio diverso: ha costruito un comando "echo" incorporando input controllati dall'utente dati. Questo comando echo viene successivamente eseguito tramite una chiamata system(), scrivendo l'output in un file in /tmp. Questa implementazione introduce un vettore di command injection del sistema operativo, poiché il processo di costruzione del comando può essere influenzato dall'input controllabile dall'utente e lì non c'è alcuna sanificazione dei dati."
I tentativi di sfruttamento sono iniziati intorno al 25 maggio e vengono monitorati da varie società e organizzazioni di sicurezza informatica.
Censys ha individuato 21.210 dispositivi potenzialmente vulnerabili in tutto il mondo, ma prevalentemente in Europa (vale a dire Italia, Francia e Svizzera).
"Questi dispositivi sono distribuiti in tutti i tipi di reti residenziali e aziendali, sia grandi che piccole. Quindi la maggior parte delle reti in cui si possono trovare questi dispositivi saranno quelle delle telecomunicazioni e di altri tipi di fornitori di servizi", hanno osservato.
I dispositivi vulnerabili a cui non sono state ancora applicate le patch dovrebbero essere considerati compromessi e vengono già sfruttati negli attacchi (ad esempio, attacchi DDoS).
Gli utenti che non sanno come rimediare alla compromissione dovrebbero chiedere aiuto al proprio fornitore di servizi. Si consiglia a coloro che hanno implementato in tempo l'aggiornamento necessario di aggiornare nuovamente: Zyxel ha rilasciato nuove patch per correggere due difetti di buffer overflow (CVE-2023-33009, CVE-2023-33010) negli stessi firewall il 24 maggio.