(https://i.postimg.cc/SKnc85rD/Zyxel.png) (https://postimg.cc/4KTKRWj9)
Los piratas informáticos están explotando una vulnerabilidad crítica de inyección de comandos en los dispositivos de la serie CPE de Zyxel que actualmente se conoce como CVE-2024-40891 y que permanece sin parchear desde julio pasado.
La vulnerabilidad permite a los atacantes no autenticados ejecutar comandos arbitrarios utilizando las cuentas de servicio "supervisor" o "zyuser".
La empresa de inteligencia de vulnerabilidades VulnCheck agregó el problema de seguridad a su base de datos el año pasado, el 12 de julio, y lo incluyó entre otros problemas explotados en la naturaleza para el acceso inicial.
Los detalles técnicos sobre la vulnerabilidad no se han revelado públicamente y Zyxel no publicó un aviso de seguridad ni un parche para CVE-2024-40891, y el problema sigue siendo explotable en el último firmware.
Parece que los piratas informáticos descubrieron cómo aprovechar la vulnerabilidad y la están utilizando en ataques, ya que la plataforma de monitoreo de amenazas GreyNoise ha observado recientemente una actividad de explotación que se origina en múltiples direcciones IP únicas.
Actividad de explotación
(https://i.postimg.cc/KjdzRWhc/Exploitation-activity.png) (https://postimages.org/)
GreyNoise señala que la falla es similar a CVE-2024-40890, que se basa en HTTP. Sin embargo, VulnCheck confirmó que la detección de explotación actual es para CVE-2024-40891 sin parchear, que se basa en el protocolo telnet.
"GreyNoise está observando intentos de explotación activos dirigidos a una vulnerabilidad de inyección de comandos crítica de día cero en dispositivos Zyxel CPE Series identificada como CVE-2024-40891", se lee en el boletín.
"En este momento, la vulnerabilidad no está parcheada ni se ha divulgado públicamente. Los atacantes pueden aprovechar esta vulnerabilidad para ejecutar comandos arbitrarios en los dispositivos afectados, lo que lleva a un compromiso completo del sistema, exfiltración de datos o infiltración en la red" - GreyNoise
El servicio de escaneo de Internet Censys informa que hay más de 1500 dispositivos Zyxel CPE Series actualmente expuestos en línea, principalmente en Filipinas, Turquía, el Reino Unido, Francia e Italia.
Teniendo en cuenta que no hay ninguna actualización de seguridad disponible para solucionar el problema, los administradores de sistemas deberían al menos intentar bloquear las direcciones IP que lanzan los intentos de explotación. Sin embargo, estos ataques desde otras direcciones IP aún son posibles.
Para una mayor mitigación, se recomienda monitorear el tráfico de solicitudes de telnet atípicas a las interfaces de administración de CPE de Zyxel y restringir el acceso a la interfaz administrativa solo a una lista de direcciones IP permitidas especificada.
Si no se utilizan o no se necesitan las funciones de administración remota, es mejor deshabilitarlas por completo para reducir la superficie de ataque.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-unpatched-flaw-in-zyxel-cpe-devices/