English
Français
Deutsch
Español
Italiano
日本語
한국어
Русский
Samsung TV 2023: todas as TVs Neo QLED, QLED e Crystal UHD detalhadas
Mar 07, 2023American estava bem em Atlanta, mas não tão bem quanto Delta voltando para casa (relatório de viagem)
Mar 09, 2023A econômica premium da Delta Air Lines vale a pena entre Nova York e Londres?
Mar 11, 2023i5LED nomeia Lynn Wang como chefe global de desenvolvimento de negócios da empresa dvLED
Mar 13, 2023A estrela da máquina Bert Kreischer em sua jornada improvável para a tela
Mar 15, 2023Firewalls Zyxel sob ataque de Mirai
Nov 22, 2023CVE-2023-28771, a vulnerabilidade crítica de injeção de comando que afeta muitos firewalls Zyxel, está sendo ativamente explorada por um botnet semelhante ao Mirai e foi adicionada ao catálogo de vulnerabilidades exploradas conhecidas (KEV) da CISA.
CVE-2023-28771 é uma vulnerabilidade que permite que invasores não autenticados executem comandos do sistema operacional remotamente enviando pacotes IKE (Internet Key Exchange) criados para um dispositivo afetado.
Corrigido por Zyxel em abril de 2023, esperava-se que fosse rapidamente explorado por invasores assim que as descrições técnicas e os PoCs fossem tornados públicos – e assim aconteceu.
"Embora o Internet Key Exchange (IKE) seja o protocolo usado para iniciar esta exploração, não é uma vulnerabilidade no próprio IKE, mas parece ser o resultado dessa função de depuração desonesta que não deveria ter feito isso em uma compilação de produção do Mas, como o IKE é o único protocolo conhecido em que o caminho para essa vulnerabilidade pode ser acionado, é muito mais provável que apenas os dispositivos Zyxel que executam o IKE sejam realmente vulneráveis a esse ataque", explicaram os pesquisadores da Censys.
"Esta vulnerabilidade decorre de uma função de registro problemática. Em vez de empregar um mecanismo seguro de manipulação de arquivos abrindo um identificador de arquivo e gravando dados nesse identificador, o Zyxel escolheu uma abordagem diferente: eles construíram um comando "echo" incorporando entrada controlada pelo usuário dados. Esse comando echo é subsequentemente executado por meio de uma chamada system(), gravando a saída em um arquivo em /tmp. Essa implementação introduz um vetor de injeção de comando do SO, pois o processo de construção do comando pode ser influenciado pela entrada controlável pelo usuário, e há não há sanitização de dados."
As tentativas de exploração começaram por volta de 25 de maio e estão sendo rastreadas por várias empresas e organizações de segurança cibernética.
O Censys identificou 21.210 dispositivos potencialmente vulneráveis em todo o mundo, mas predominantemente na Europa (ou seja, Itália, França e Suíça).
"Esses dispositivos são implantados em todos os tipos de redes residenciais e comerciais, grandes e pequenas. Portanto, a maioria das redes em que esses dispositivos podem ser encontrados são de telecomunicações e outros tipos de provedores de serviços", observaram.
Dispositivos vulneráveis que ainda não foram corrigidos devem ser considerados comprometidos e já estão sendo aproveitados em ataques (por exemplo, ataques DDoS).
Os usuários que não souberem como remediar o comprometimento devem pedir ajuda ao provedor de serviços. Aqueles que implementaram a atualização necessária a tempo são aconselhados a atualizar novamente: Zyxel lançou novos patches para corrigir duas falhas de estouro de buffer (CVE-2023-33009, CVE-2023-33010) nesses mesmos firewalls em 24 de maio.