La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha agregado una falla de seguridad crítica recientemente parcheada en el equipo Zyxel a sus vulnerabilidades explotadas conocidas (KEV) catálogo, citando evidencia de explotación activa.
rastreado como CVE-2023-28771 (puntuación CVSS: 9,8), el problema se relaciona con una falla de inyección de comando que afecta a diferentes modelos de firewall y que podría permitir que un atacante no autenticado ejecute código arbitrario mediante el envío de un paquete especialmente diseñado al dispositivo.
Zyxel abordó el defecto de seguridad como parte de las actualizaciones publicadas el 25 de abril de 2023. La lista de dispositivos afectados se encuentra a continuación:
- ATP (versiones ZLD V4.60 a V5.35, parcheado en ZLD V5.36)
- USG FLEX (versiones ZLD V4.60 a V5.35, parcheado en ZLD V5.36)
- VPN (versiones ZLD V4.60 a V5.35, parcheado en ZLD V5.36), y
- ZyWALL/USG (versiones ZLD V4.60 a V4.73, parcheado en ZLD V4.73 Parche 1)
La Fundación Shadowserver, en un tuit recientedijo que la falla está «siendo explotada activamente para construir una botnet similar a Mirai» desde el 26 de mayo de 2023. La firma de seguridad cibernética Rapid7 también ha prevenido de abuso «generalizado» en estado salvaje de CVE-2023-28771.
A la luz de este desarrollo, es imperativo que los usuarios se muevan rápidamente para aplicar los parches para mitigar los riesgos potenciales. Las agencias federales en los EE. UU. tienen la obligación de actualizar sus dispositivos antes del 21 de junio de 2023.
Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!
Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!
La divulgación también llega como Unidad 42 de Palo Alto Networks detallado una nueva ola de ataques montados por una variante activa de botnet Mirai denominada IZ1H9 desde principios de abril de 2023.
Se ha descubierto que las intrusiones aprovechan múltiples fallas de ejecución remota de código en dispositivos IoT expuestos a Internet, incluido Zyxel, para atraparlos en una red para orquestar ataques distribuidos de denegación de servicio (DDoS).
Vale la pena señalar que Mirai ha generado una serie de clones desde que se filtró su código fuente en octubre de 2016.
«Los dispositivos de IoT siempre han sido un objetivo lucrativo para los actores de amenazas, y los ataques de ejecución remota de código continúan siendo las amenazas más comunes y preocupantes que afectan a los dispositivos de IoT y los servidores de Linux», dijo Unit 42.
«Las vulnerabilidades utilizadas por esta amenaza son menos complejas, pero esto no disminuye su impacto, ya que aún podrían conducir a la ejecución remota de código».