Posté le juillet 24, 2023 à 6:00
LES ORGANISATIONS UTILISANT DES APPAREILS ZYXEL AVEC UNE FAILLE NON CORRIGÉE CONTINUENT D’ÊTRE EXPLOITÉES
Les appareils Zyxel ont été la cible d’un exploit de sécurité utilisant une vulnérabilité de gravité 9.8. La faille existe dans les périphériques réseau créés par Zyxel, et un grand nombre de ces périphériques ont continué à être exploités par des hackers. Ces appareils sont utilisés comme réseaux de zombies pour lancer des attaques par déni de service distribué (DDoS).
Les appareils Zyxel sont toujours exploités par les hackers
Zyxel a publié un correctif pour la faille de sécurité le 25 avril. Cependant, quelques semaines après la sortie du correctif, un rapport de Shadowserver a indiqué que de nombreux pare-feu et serveurs VPN de Zyxel ont été touchés par des campagnes de piratage. À l’époque, Shadowserver avait prévenu que si un utilisateur utilisait un dispositif vulnérable, il devait supposer qu’il était compromis.
Un rapport récent de Fortinet a mis en garde contre la persistance de la menace qui pèse sur les dispositifs Zyxel. L’entreprise de sécurité Fortinet a noté une augmentation des activités de piratage menées par plusieurs groupes de hackers au cours des dernières semaines.
L’évaluation de Fortinet semble être la même que celle faite par Shadowserver, puisqu’elle a noté que ces attaques provenaient de variantes du logiciel malveillant Mirai. Le logiciel malveillant Mirai est généralement utilisé par les hackers pour détecter et exploiter les vulnérabilités existant sur les routeurs et les appareils IdO (Internet des objets).
Si le logiciel malveillant Mirai réussit à mener ces campagnes de piratage, il coralise les appareils en botnets qui délivreront des attaques DDoS avec des volumes massifs. Les chercheurs ont exhorté les organisations qui n’ont pas encore déployé le correctif à le faire en raison de la probabilité accrue d’une exploitation.
En juin, des chercheurs en cybersécurité ont publié un code d’exploitation qui pouvait être téléchargé et exploité dans le logiciel du réseau de zombies. Alors que la menace était claire et imminente, un grand nombre d’appareils n’avaient pas encore installé le correctif et les exploits avaient continué à se multiplier.
Cara Lin, l’un des chercheurs en sécurité de Fortinet, a fait remarquer que depuis la publication du module d’exploitation, les activités malveillantes se sont multipliées. La chercheuse a indiqué qu’une analyse menée par FortiGuard Labs avait noté une augmentation des vagues d’attaques à partir du mois de mai.
« Nous avons également identifié plusieurs botnets, dont Dark.IoT, une variante basée sur Mirai, ainsi qu’un autre botnet qui utilise des méthodes d’attaque DDoS personnalisées », a déclaré M. Lin. Le chercheur a noté que les hackers exploitaient la vulnérabilité repérée sous le nom de CVE-2023-28771 pour déployer la charge utile.
La vulnérabilité CVE-2023-28771 est utilisée pour compromettre les appareils Zyxel. La faille d’injection de commande non authentifiée a un niveau de gravité de 9,8 et peut être exploitée en utilisant un paquet IKEv2 spécialement conçu vers le port UDP 500 de l’appareil ciblé afin d’exécuter un code malveillant.
Selon M. Lin, « la présence de vulnérabilités exposées dans les appareils peut entraîner des risques importants. Lorsqu’un attaquant prend le contrôle d’un appareil vulnérable, il peut l’intégrer à son réseau de zombies, ce qui lui permet d’exécuter d’autres attaques, telles que des attaques par déni de service (DDoS). Pour lutter efficacement contre cette menace, il est essentiel de donner la priorité à l’application des correctifs et des mises à jour chaque fois que cela est possible. »
De nombreux appareils sont encore exposés à la faille
Zyxel a déjà signalé la faille et a délivré un correctif pour y remédier. La faille existe dans les configurations par défaut du pare-feu du fabricant et des appareils VPN, et une fois l’exploit réalisé, elle crée un botnet utilisé pour mener des campagnes DDoS.
Les dispositifs vulnérables à cet exploit de sécurité comprennent les versions 4.60 à 4.73 du micrologiciel de la série ZyWALL/USG de Zyxel. Il a également affecté les versions 4.60 à 5.35 des microprogrammes de la série VPN, les versions 4.60 à 5.35 des microprogrammes de la série USG FLEX et les versions 4.60 à 5.35 des microprogrammes de la série ATP.
Selon M. Lin, au cours du mois dernier, le nombre d’attaques exploitant la faille de sécurité CVE-2023-28771 provenait d’adresses IP distinctes et visait la fonction d’injection de commande dans un paquet d’échange de clés Internet transmis par les appareils Zyxel. Les attaques sont menées à l’aide d’un large éventail d’outils tels que curl et wget.
Les outils curl et wget téléchargeront des scripts malveillants à partir de serveurs contrôlés par le hacker. La faille en question n’est pas seulement exploitée par le logiciel de réseau de zombies Dark.IoT. Les autres logiciels de botnet qui exploitent cette faille sont Katana et Rapperbot. Les acteurs derrière le logiciel Katana exploitent un canal Telegram.
Les exploits réalisés à l’aide de ces réseaux de zombies peuvent être exécutés directement sur des dispositifs de sécurité sensibles. Il faut donc s’attendre à ce que l’organisation concernée ait déjà installé un correctif pour la vulnérabilité. Les exploits réussis de ces organisations montrent que le correctif n’a pas encore été appliqué.
