Siber güvenlik araştırmacıları, Zyxel CPE serisi cihazlarını etkileyen kritik bir sıfır günlük güvenlik açığının vahşi doğada aktif sömürü girişimleri gördüğünü uyarıyor.
Grinnoise araştırmacısı Glenn Thorpe, “Saldırganlar, etkilenen cihazlarda keyfi komutlar yürütmek için bu güvenlik açığından yararlanabilir, bu da sistem uzlaşmasına, veri açığa çıkmasına veya ağ sızmasına yol açabilir.” söz konusu Salı günü yayınlanan bir uyarıda.
Söz konusu güvenlik açığı, ne kamuya açıklanmamış ne de yamalı olmayan kritik bir komut enjeksiyon güvenlik açığı olan CVE-2024-40891’dir. Hatanın varlığı ilk bildirilen Temmuz 2024’te Vulncheck tarafından.
Tehdit istihbarat firması tarafından toplanan istatistikler gösteren Saldırı girişimleri kaynaklandı Düzinelerce IP Adresiçoğunluğu Tayvan’da bulunur. Censys’e göre, 1.500 savunmasız cihaz çevrimiçi.
Geynoise, “CVE-2024-40891, CVE-2024-40890’a çok benzer, temel fark eskisinin telnet tabanlı olması, ikincisi HTTP tabanlıdır.” “Her iki güvenlik açığı da kimlik doğrulanmamış saldırganların hizmet hesaplarını kullanarak keyfi komutlar yürütmesine izin veriyor.”
Vulncheck, Hacker News’e Tayvanlı şirketle açıklama sürecinde çalıştığını söyledi. Daha fazla yorum için Zyxel’e ulaştık ve tekrar duyarsak hikayeyi güncelleyeceğiz.
Bu arada, kullanıcılara Zyxel CPE yönetimi arayüzlerine olağandışı HTTP istekleri için trafiği filtrelemeleri ve güvenilir IP’lere idari arayüz erişimini kısıtlamaları tavsiye edilir.
Geliştirme, Arctic Wolf’un 22 Ocak 2025’ten itibaren bir kampanya gözlemlediğini ve bu da ilk erişim vektörü olarak SimpleHelp uzak masaüstü yazılımını çalıştıran cihazlara yetkisiz erişim elde etmeyi içerdiğini bildirdiği gibi geliyor.
Şu anda, saldırıların, kötü bir aktörün ayrıcalıkları artırmasına izin verebilecek üründeki (CVE-2024-57727, CVE-2024-57727 ve CVE-2024-57728) yakın zamanda açıklanan güvenlik kusurlarının kullanımı ile bağlantılı olup olmadığı bilinmemektedir. yönetim kullanıcıları ve keyfi dosyalar yükleyin.
Güvenlik araştırmacısı Andres Ramos, “İlk uzlaşma belirtileri, müşteri sürecinden onaylanmamış bir SimpleHelp sunucu örneğine iletişim idi.” söz konusu. “Tehdit faaliyeti ayrıca, net ve nlTest gibi araçları kullanarak bir SimpleHelp oturumu ile başlatılan bir CMD.EXE süreci aracılığıyla hesapların ve etki alanı bilgilerinin numaralandırılmasını da içeriyordu. Tehdit aktörlerinin, saldırı ilerlemeden önce sonlandırıldığı için hedeflere göre hareket etmedi. daha öte.”
Kuruluşlara, potansiyel tehditlere karşı güvence altına almak için basit kullanılabilir örneklerini mevcut en son sabit sürümlere güncellemeleri şiddetle tavsiye edilir.
Güncelleme
Şirket yayında, tehdit aktörlerinin kırılganlığı toplu olarak kullanmaya çalıştıklarına dair açık işaretler olduğunu söyledi. Ayrıca, bazı Mirai botnet varyantlarının “CVE-2024-40891’den yararlanma yeteneğini eklediklerini,” CVE-2024-40891 ve Mirai olarak sınıflandırılan IPS arasında önemli bir çakışma tanımladıktan sonra “belirledikten sonra belirtti.
