Hakeri aktivno primjenjuju Zyxel Firewall nedostatak za implementaciju Ransomware-a

Đorđe

3 days ago

Hakeri aktivno primjenjuju Zyxel Firewall nedostatak za implementaciju Ransomware-a-Kiber.ba

Stručnjaci za sajber sigurnost otkrili su val napada koji iskorištavaju ranjivosti u Zyxel firewall-u za postavljanje Helldown ransomware-a.

Ova nova operacija ransomware-a, koja je prvi put uočena u avgustu 2024. godine, brzo je stekla popularnost, ciljajući organizacije širom svijeta i narušavajući njihove mreže kroz sigurnosne rupe u Zyxel-ovim firewall sistemima.

U središtu ovih napada je kritična ranjivost u prelasku direktorija, praćena kao CVE-2024-11667, koja utiče na verzije firmvera Zyxel ZLD od 5.00 do 5.38.

Ova mana omogućava napadačima da preuzimaju ili uploaduju datoteke putem kreiranog URL-a, što potencijalno dovodi do neovlaštenog pristupa i malicioznih aktivnosti unutar ciljanih mreža.

Međutim, sigurnosni istraživači su primijetili da je kompanija preduzela brze mjere kako bi riješila nekoliko sigurnosnih problema, uključujući i ovu ranjivost.

Tehnička analiza

Grupa Helldown ransomware-a je primijećena kako iskorištava ovu ranjivost za:-

Dobijte početni pristup korporativnim mrežama
Kreirajte neovlaštene račune (npr. “SUPPORT87”, “OKSDW82A”)
Uspostavite sigurne veze putem SSL VPN-a
Krećite se bočno unutar ugroženih mreža
Onemogućite odbranu krajnje tačke
Eksfiltrirajte osjetljive podatke
Šifrirajte kritičnu imovinu

Napadi su imali značajne posljedice: –

Među žrtvama je navodno i sam Zyxel Europe
Najmanje 32 žrtve širom svijeta navedene su na Helldownovoj stranici za curenje podataka
Prema CERT-Bundu (BSI) sumnja se na mete pet njemačkih entiteta

Dok smo ovdje u nastavku spomenuli kompletnu vremensku liniju:-

Prvobitno izdanje : 21. novembar 2024
Ažuriranje : 27. novembar 2024. – CVE opis je ažuriran
Trenutni datum : 29. novembar 2024

Za zaštitu vaše mreže i sprječavanje potencijalnih napada, Zyxel snažno preporučuje sljedeće proaktivne mjere:-

Ažuriraj firmver : Odmah ažurirajte svoj uređaj na najnoviju verziju firmvera.
Onemogući daljinski pristup : Ako se ažuriranja ne mogu primijeniti odmah, privremeno onemogućite daljinski pristup svom uređaju dok se firmver ne zakrpi.
Pregledajte najbolje prakse : Upoznajte se s općim smjernicama za sajber sigurnost .
Promjena lozinki administratora : Korisnici se pozivaju da promijene svoje administratorske lozinke kao dodatnu sigurnosnu mjeru.

Uprkos dostupnosti zakrpa, neke institucije su prijavile Helldown infekcije čak i nakon ažuriranja firmvera. Ovo sugerira da samo ažuriranje možda nije dovoljno da spriječi kompromis, jer napadači potencijalno mogu koristiti prethodno kreirane račune za održavanje pristupa.

Izvor: CyberSecurityNews