Jedna ranjivost u Zyxel uređajima, koja je iskorišćena u koordinisanom napadu na kritičnu infrastrukturu Danske prije dvije godine, ponovo je u fokusu napadača, upozorava bezbjednosno-obavještajna kompanija GreyNoise.
Bezbjednosni propust, označen kao CVE-2023-28771 (CVSS ocjena 9.8), odnosi se na nepravilno rukovanje porukama o grešci, a može se iskoristiti za daljinsko izvršavanje komandi na operativnom sistemu.
Napadi koji ciljaju ovu ranjivost prvi put su zabilježeni u maju 2023. godine, mjesec dana nakon što je Zyxel objavio zakrpe za nju, a intenzivirali su se mjesec kasnije.
Izvještaj iz novembra 2023. godine koji je objavio neprofitni centar za sajber bezbjednost kritične infrastrukture SektorCERT, otkriva da je 11 danskih energetskih organizacija kompromitovano u maju 2023. godine kroz iskorišćavanje CVE-2023-28771.
Široko rasprostranjena kampanja protiv kritične infrastrukture te zemlje nastavila se tokom cijelog maja 2023. godine, uz iskorišćavanje drugih bezbjednosnih propusta, što je na kraju dovelo do kompromitovanja ukupno 22 organizacije.
Sada, GreyNoise upozorava na nagli porast pokušaja iskorišćavanja CVE-2023-28771, pri čemu su svi pokušaji došli sa IP adresa koje nisu bile zabilježene da su učestvovale u drugim aktivnostima skeniranja ili iskorišćavanja u prethodne dvije sedmice.
„Pokušaji iskorišćavanja CVE-2023-28771 bili su minimalni tokom prethodnih nedjelja. Dana 16. juna, GreyNoise je zabilježio koncentrisan nalet pokušaja iskorišćavanja u kratkom vremenskom periodu, sa 244 jedinstvena IP-a koja su pokušala napad“, navodi ova bezbjednosno-obavještajna firma.
Napadi su bili usmjereni uglavnom na mete u SAD-u, Velikoj Britaniji, Španiji, Njemačkoj i Indiji. Izvorne IP adrese, registrovane na Verizon Business infrastrukturu, dolazile su iz SAD-a, ali GreyNoise napominje da pravi izvor napada može biti lažiran, jer je posmatrani saobraćaj bio UDP, na portu 500.
Bezbjednosno-obavještajna firma sumnja da su pokušaji iskorišćavanja povezani sa varijantom Mirai botneta.
Organizacije bi trebalo da se postaraju da su njihovi Zyxel uređaji zakrpljeni protiv CVE-2023-28771 i drugih poznatih ranjivosti, da primjenjuju mrežno filtriranje radi smanjenja nepotrebne izloženosti portu 500 i da nadgledaju uređaje radi anomalnog ponašanja.
Izvor: SecurityWeek