Fortinet je izdao upozorenje da botnet malware Gafgyt aktivno pokušava da iskoristi ranjivost na end-of-life ruteru Zyxel P660HN-T1A u hiljadama dnevnih napada.
Malware cilja na CVE-2017-18368, ranjivost kritične ozbiljnosti (CVSS v3: 9.8) koju čini neautorizovano ubrizgavanje komande u funkciju proslijeđivanja dnevnika udaljenog sistema na uređaju, koju je Zyxel zakrpio 2017. godine.
Zyxel je ranije istakao prijetnju od tada nove Gafgyt varijante 2019. godine, pozivajući korisnike koji još uvijek koriste zastarjelu verziju firmvera da nadograde na najnoviju verziju kako bi zaštitili svoje uređaje od preuzimanja.
Međutim, Fortinet i dalje bilježi u prosjeku 7.100 napada dnevno od početka jula 2023. godine, a obim napada se nastavlja i danas.
„[Od] 7. avgusta 2023., FortiGuard Labs nastavlja da viđa pokušaje napada koji ciljaju ranjivost iz 2017. i blokirao je pokušaje napada preko hiljada jedinstvenih IPS uređaja tokom prošlog meseca“, stoji u novom upozorenju o epidemiji Fortineta objavljenom danas.
Nejasno je koji je dio uočenih pokušaja napada rezultirao uspješnim infekcijama. Međutim, aktivnost je ostala na stalnom nivou od jula.
CISA je ove sedmice također upozorila na aktivnu eksploataciju CVE-2017-18368, dodajući ovaj nedostatak svom katalogu poznatih iskorištavanih ranjivosti.
Agencija za kibernetičku sigurnost sada zahtijeva od saveznih agencija da zakrpe ranjivost Zyxela do 28. avgusta 2023. godine.
Kao odgovor na pojavu eksploatacije, Zyxel je ažurirao svoje bezbjednosne savete, podsjećajući kupce da CVE-2017-18363 utiče samo na uređaje koji koriste verzije firmvera 7.3.15.0 v001/3.40(ULM.0)b31 ili starije.
P660HN-T1A ruteri koji koriste najnoviju verziju firmvera koja je dostupna 2017. godine radi otklanjanja greške, verzija 3.40(BYF.11), nisu pod uticajem ovih napada.
Međutim, proizvođač ističe da je uređaj došao do kraja životnog vijeka i da više nije podržan, pa bi prelazak na noviji model bio pametan.
“Imajte na umu da je P660HN-T1A istekao prije nekoliko godina; stoga preporučujemo korisnicima da ga zamijene proizvodom novije generacije radi optimalne zaštite”, upozorava Zyxel .
Uobičajeni znakovi zaraze botnetom na ruterima uključuju nestabilnu povezanost, pregrijavanje uređaja, iznenadne promjene konfiguracije, neodaziv, atipičan mrežni promet, otvaranje novih portova i neočekivano ponovno pokretanje.
Ako sumnjate da je u pitanju botnet malware, izvršite vraćanje na fabričke postavke, ažurirajte firmver uređaja na najnoviju verziju i promijenite zadane korisničke kredencijale administratora.
Također, savjetuje se da onemogućite udaljeni administrativni panel i upravljate uređajima samo sa svoje interne mreže.
Izvor: BleepingComputer