Los usuarios de Zyxel que siguen siendo pirateados por la red de bots DDoS están demostrando ser la principal molestia pública

Las organizaciones que aún no han remediado una vulnerabilidad de Gravedad 9.8 en los dispositivos de red Zyxel se han convertido en la principal molestia pública, ya que un número significativo de ellas continúan siendo explotadas e implicadas en botnets que realizan ataques DDoS. Zyxel solucionó el error el 25 de abril. Cinco semanas después, Shadowserver, una organización que monitorea las amenazas web en tiempo real, advirtió que muchos firewalls y servidores VPN de Zyxel se habían visto comprometidos por ataques que no mostraban signos de detenerse. La evaluación de Shadowserver en ese momento fue: «Si ha expuesto un dispositivo vulnerable, asuma un compromiso». El miércoles, 12 semanas desde que Zyxel implementó un parche y siete semanas desde que Shadowserver dio la alarma, la firma de seguridad Fortinet publicó un estudio que informa un aumento en la actividad de explotación de múltiples actores de amenazas en las últimas semanas. Al igual que con los compromisos activos informados por Shadowserver, los ataques provinieron principalmente de variantes basadas en Mirai, una aplicación de código abierto que los piratas informáticos utilizan para identificar y explotar vulnerabilidades comunes en enrutadores y otros dispositivos de Internet de las cosas. Si tiene éxito, Mirai integra los dispositivos en botnets que potencialmente pueden lanzar ataques distribuidos de denegación de servicio a gran escala. Para aumentar la urgencia de parchear la vulnerabilidad de Zyxel, los investigadores lanzaron un código de explotación en junio que cualquiera podía descargar e integrar en su propio software de botnet. A pesar de la amenaza clara e inminente, todavía hay muchos dispositivos vulnerables incluso cuando los ataques continúan aumentando, dijo Cara Lin, investigadora de Fortinet, en el informe del jueves. Lin escribió:
Ha habido un aumento sostenido en la actividad maliciosa desde el lanzamiento del módulo de explotación. El análisis realizado por FortiGuard Labs ha visto un aumento significativo en los brotes de ataques a partir de mayo, como se muestra en el gráfico de conteo de desencadenantes en la Figura 1. También identificamos varias redes de bots, incluida Dark.IoT, una variante basada en Mirai, así como otra red de bots que utiliza métodos de ataque DDoS personalizados. En este artículo, brindamos una explicación detallada de la carga útil entregada a través de CVE-2023-28771 y botnets relacionados.
Figura 1: Actividad de ataque de botnet Fortinet La vulnerabilidad utilizada para comprometer los dispositivos Zyxel, rastreada como CVE-2023-28771, es una vulnerabilidad de inyección de comando no autenticada con una gravedad de 9.8. La falla se puede explotar con un paquete IKEv2 especialmente diseñado en el puerto UDP 500 del dispositivo para ejecutar código malicioso. La divulgación del error de Zyxel se puede encontrar aquí. CVE-2023-28771 existe en las configuraciones estándar de los dispositivos VPN y firewall del fabricante. Estos incluyen las versiones 4.60 a 4.73 del firmware de la serie ZyWALL/USG de Zyxel, las versiones 4.60 a 5.35 del firmware de la serie VPN, las versiones 4.60 a 5.35 del firmware de la serie USG FLEX y las versiones 4.60 a 5.35 del firmware de la serie ATP. Lin de Fortinet dijo que durante el mes pasado, los ataques que explotaron CVE-2023-28771 se originaron en varias direcciones IP y se dirigieron específicamente a la función de inyección de comandos en un paquete de intercambio de claves de Internet transmitido por dispositivos Zyxel. Los ataques se llevan a cabo utilizando herramientas como Curl y Wget, que descargan scripts maliciosos de los servidores controlados por el atacante.
Fortinet Además de Dark.IoT, otro software de botnet está explotando la vulnerabilidad, incluidos Rapperbot y Katana, el último de los cuales está estrechamente asociado con un canal de Telegram llamado «SHINJI.APP | Katana botnet». Dada la capacidad de los exploits para ejecutarse directamente en dispositivos de seguridad sensibles, uno podría haber asumido que las organizaciones afectadas ya habrían solucionado la vulnerabilidad subyacente. Desafortunadamente, los intentos de explotación que siguen siendo exitosos muestran que un número no despreciable de ellos todavía no lo han logrado. «La presencia de vulnerabilidades expuestas en los dispositivos puede generar riesgos significativos», señaló Lin. “Una vez que un atacante obtiene el control de un dispositivo vulnerable, puede integrarlo en su botnet y lanzar ataques adicionales como DDoS. Priorizar la aplicación de parches y actualizaciones siempre que sea posible es fundamental para abordar esta amenaza de manera efectiva”.