Hakeri aktivno primjenjuju Zyxel Firewall nedostatak za implementaciju Ransomware-a

Stručnjaci za sajber sigurnost otkrili su val napada koji iskorištavaju ranjivosti u Zyxel firewall-u za postavljanje Helldown ransomware-a.

Ova nova operacija ransomware-a, koja je prvi put uočena u avgustu 2024. godine, brzo je stekla popularnost, ciljajući organizacije širom svijeta i narušavajući njihove mreže kroz sigurnosne rupe u Zyxel-ovim firewall sistemima.

U središtu ovih napada je kritična ranjivost u prelasku direktorija, praćena kao CVE-2024-11667, koja utiče na verzije firmvera Zyxel ZLD od 5.00 do 5.38.

Ova mana omogućava napadačima da preuzimaju ili uploaduju datoteke putem kreiranog URL-a, što potencijalno dovodi do neovlaštenog pristupa i malicioznih aktivnosti unutar ciljanih mreža.

Međutim, sigurnosni istraživači su primijetili da je kompanija preduzela brze mjere kako bi riješila nekoliko sigurnosnih problema, uključujući i ovu ranjivost.

Tehnička analiza

Grupa Helldown ransomware-a je primijećena kako iskorištava ovu ranjivost za:-

1. Dobijte početni pristup korporativnim mrežama
2. Kreirajte neovlaštene račune (npr. “SUPPORT87”, “OKSDW82A”)
3. Uspostavite sigurne veze putem SSL VPN-a
4. Krećite se bočno unutar ugroženih mreža
5. Onemogućite odbranu krajnje tačke
6. Eksfiltrirajte osjetljive podatke
7. Šifrirajte kritičnu imovinu

Napadi su imali značajne posljedice: –

• Među žrtvama je navodno i sam Zyxel Europe
• Najmanje 32 žrtve širom svijeta navedene su na Helldownovoj stranici za curenje podataka
• Prema CERT-Bundu (BSI) sumnja se na mete pet njemačkih entiteta

Dok smo ovdje u nastavku spomenuli kompletnu vremensku liniju:-

• Prvobitno izdanje : 21. novembar 2024
• Ažuriranje : 27. novembar 2024. – CVE opis je ažuriran
• Trenutni datum : 29. novembar 2024

Za zaštitu vaše mreže i sprječavanje potencijalnih napada, Zyxel snažno preporučuje sljedeće proaktivne mjere:-

1. Ažuriraj firmver : Odmah ažurirajte svoj uređaj na najnoviju verziju firmvera.
2. Onemogući daljinski pristup : Ako se ažuriranja ne mogu primijeniti odmah, privremeno onemogućite daljinski pristup svom uređaju dok se firmver ne zakrpi.
3. Pregledajte najbolje prakse : Upoznajte se s općim smjernicama za sajber sigurnost .
4. Promjena lozinki administratora : Korisnici se pozivaju da promijene svoje administratorske lozinke kao dodatnu sigurnosnu mjeru.

Uprkos dostupnosti zakrpa, neke institucije su prijavile Helldown infekcije čak i nakon ažuriranja firmvera. Ovo sugerira da samo ažuriranje možda nije dovoljno da spriječi kompromis, jer napadači potencijalno mogu koristiti prethodno kreirane račune za održavanje pristupa.

Izvor: CyberSecurityNews