Posté le juin 1, 2023 à 7:52

UNE VARIANTE ACTIVE DU BOTNET MIRAI EXPLOITE DES APPAREILS ZYXEL POUR MENER DES ATTAQUES DDOS

L’agence Américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté à son catalogue de vulnérabilités exploitées connues (KEV) une faille de gravité critique récemment corrigée dans les appareils Zyxel. L’agence a indiqué que la faille de sécurité a été ajoutée à la liste en raison de preuves d’une exploitation active par des acteurs de la menace.

Le botnet actif Mirai exploite les appareils Zyxel pour mener des attaques DDoS

La vulnérabilité en question est répertoriée sous le nom de CVE-2023-28771, et son score CVSS est de 9,8. Le problème de sécurité est lié à une vulnérabilité dans l’injection de commande qui a affecté un large éventail de modèles de pare-feu et qui pourrait permettre à un acteur de menaces non autorisé d’exécuter un code arbitraire lorsqu’il envoie un paquet spécialement conçu à l’appareil ciblé.

Zyxel a aussi corrigé la vulnérabilité en question dans le cadre des mises à jour qu’elle a publiées à la fin du mois d’avril. Cette faille a une portée considérable et pourrait causer des dommages considérables à de nombreux appareils si elle était exploitée dans la nature.

Les dispositifs susceptibles d’être affectés par cette sécurité comprennent l’ATP, la menace étant présente sur les versions ZLD V4.60 à V5.35, qui a été corrigée dans la version ZLD V5.36. Elle affecte également les appareils USG FLEX de la version ZLD V4.60 à V5.35, qui a été corrigée dans la version ZLD V5.36.

La faille de sécurité affectera par ailleurs les versions VPN ZLD V4.60 à V5.35 qui ont été corrigées dans le ZLD V5.36. En outre, elle affecte également les versions ZyWALL/USG ZLD V4.60 à V4.74 qui ont été corrigées dans ZLD V4.73 Patch 1.

La vulnérabilité est exploitée dans la nature

La Shadowserver Foundation a publié un récent tweet sur cette vulnérabilité et les dangers qu’elle représente pour les utilisateurs.

Zyxel firewalls CVE-2023-28771 (pre-auth remote command OS injection) is being actively exploited to build a Mirai-like botnet. Internet-wide sweeps seen by over 700 of our IKEv2 aware honeypot sensors, since May 26th. Exploit PoC is public, so expect an increase in attacks. pic.twitter.com/5GSiLhCrAJ

— Shadowserver (@Shadowserver) May 27, 2023

La Shadowserver Foundation a noté que la vulnérabilité était activement exploitée dans la nature pour la création d’un réseau de zombies de type Mirai depuis le 26 mai 2023. Le rapport de Shadowserver a confirmé le rapport de la CISA.

« Les pare-feu Zyxel CVE-2023-28771 (pre-auth remote command OS injection) sont activement exploités pour créer un botnet de type Mirai. Des balayages à l’échelle de l’Internet ont été vus par plus de 700 de nos capteurs de pots de miel IKEv2 depuis le 26 mai. Le PoC d’exploitation est public, il faut donc s’attendre à une augmentation des attaques », indique le tweet de la Shadowserver Foundation.

La société de cybersécurité Rapid7 a également mis en évidence le risque accru d’exploitation de la faille dans la nature. Cette société a averti que la faille CVE-2023-28771 est exploitée par des acteurs malveillants et qu’elle représente un grave danger pour les utilisateurs.

Le rapport de Rapid7 indique qu’au 19 mai, il y avait au moins 42 000 appareils Zyxel connectés à l’internet public. Cependant, les chercheurs ont noté que le chiffre en question ne comprend que les appareils dont l’interface web sur le réseau étendu est exposée, ce qui n’est pas un paramètre par défaut.

La faille en question est présente dans le service VPN, qui sera activé automatiquement par défaut sur le réseau WAN. Les chercheurs s’attendent donc à ce que le nombre réel d’appareils exposés et piratés soit beaucoup plus élevé.

À la suite de la myriade d’avertissements partagés par les chercheurs en cybersécurité au sujet de cette vulnérabilité, il est crucial que les utilisateurs se hâtent d’installer les correctifs de sécurité qui atténueront tout risque potentiel. Les agences fédérales Américaines sont également tenues d’installer une mise à jour sur leurs appareils d’ici au 21 juin 2023.

Cette révélation fait aussi suite à un rapport détaillé de l’unité 42 de Palo Alto Networks. L’entreprise a fourni une analyse détaillée des attaques déclenchées par une variante d’un botnet Mirai actif connu sous le nom de IZ1h9 depuis le début du mois d’avril de cette année.

Les intrusions rendues possibles par cette faille de sécurité ont été détectées comme exploitant plusieurs vulnérabilités d’exécution de code à distance dans des dispositifs IdO exposés à l’internet, l’un des dispositifs affectés étant Zyxel. Les failles sont exploitées pour piéger les utilisateurs dans un réseau qui les aidera à mener des attaques par déni de service distribué (DDoS).

Mirai est l’un des botnets les plus célèbres du secteur. Depuis la fuite de son code source en octobre 2016, le botnet a donné naissance à un large éventail de clones. La déclaration qui a été publiée par l’Unit 42 à ce sujet indique que les appareils IdO ont été une cible lucrative pour les hackers.

Les attaques par exécution de code à distance sont devenues de plus en plus populaires, les menaces les plus préoccupantes affectant les appareils IdO et les serveurs Linux. Les vulnérabilités utilisées par la menace sont devenues moins complexes par nature, mais cette évolution ne réduit pas les effets et peut toujours entraîner l’exécution de code à distance.