0
0
CVE-2023-28771, a vulnerabilidade crítica de injeção de comando que afeta muitos firewalls Zyxel, está sendo explorada ativamente por uma botnet semelhante ao Mirai e foi adicionada ao catálogo KEV (Known Exploited Vulnerabilities) da CISA.
Sobre o CVE-2023-28771
CVE-2023-28771 é uma vulnerabilidade que permite que invasores não autenticados executem comandos do sistema operacional remotamente enviando pacotes IKE (Internet Key Exchange) criados para um dispositivo afetado.
Corrigido pela Zyxel em abril de 2023, esperava-se que fosse rapidamente explorado pelos atacantes assim que as gravações técnicas e PoCs fossem tornadas públicas – e assim aconteceu.
“Embora o Internet Key Exchange (IKE) seja o protocolo usado para iniciar essa exploração, não é uma vulnerabilidade no IKE em si, mas parece ser um resultado dessa função de depuração desonestos que não deveria ter se transformado em uma compilação de produção do firmware. Mas como o IKE é o único protocolo conhecido onde o caminho para essa vulnerabilidade pode ser acionado, é muito mais provável que apenas os dispositivos Zyxel que estão executando o IKE sejam realmente vulneráveis a esse ataque”, explicaram os pesquisadores da Censys.
“Essa vulnerabilidade decorre de uma função de registro problemática. Em vez de empregar um mecanismo seguro de manipulação de arquivos abrindo um identificador de arquivo e gravando dados nesse identificador, a Zyxel escolheu uma abordagem diferente: eles construíram um comando “echo” incorporando dados de entrada controlados pelo usuário. Este comando echo é subsequentemente executado através de uma chamada system(), gravando a saída em um arquivo em /tmp. Essa implementação introduz um vetor de injeção de comando do sistema operacional, pois o processo de construção do comando pode ser influenciado pela entrada controlável pelo usuário, e não há limpeza de dados.”
CVE-2023-28771 explorado
As tentativas de exploração começaram por volta de 25 de maio e estão sendo rastreadas por várias empresas e organizações de segurança cibernética.
A Censys identificou 21.210 dispositivos potencialmente vulneráveis em todo o mundo, mas predominantemente na Europa (ou seja, Itália, França e Suíça).
“Esses dispositivos são implantados em todos os tipos de redes residenciais e empresariais, grandes e pequenas. Então, a maioria das redes em que esses dispositivos podem ser encontrados serão de telecomunicações e outros tipos de provedores de serviços”, observaram.
Dispositivos vulneráveis que não foram corrigidos até agora devem ser considerados comprometidos e já estão sendo aproveitados em ataques (por exemplo, ataques DDoS).
Os usuários que não souberem como remediar o comprometimento devem pedir ajuda ao provedor de serviços. Aqueles que implementaram a atualização necessária a tempo são aconselhados a atualizar novamente: O Zyxel relançou novos patches para corrigir duas falhas de estouro de buffer (CVE-2023-33009, CVE-2023-33010) nesses mesmos firewalls em 24 de maio.
FONTE: DARK READING