{"id":5061,"date":"2023-06-01T07:52:00","date_gmt":"2023-06-01T05:52:00","guid":{"rendered":"https:\/\/fr.koddos.net\/blog\/?p=5061"},"modified":"2023-06-02T17:56:11","modified_gmt":"2023-06-02T15:56:11","slug":"une-variante-active-du-botnet-mirai-exploite-des-appareils-zyxel-pour-mener-des-attaques-ddos","status":"publish","type":"post","link":"https:\/\/fr.koddos.net\/blog\/une-variante-active-du-botnet-mirai-exploite-des-appareils-zyxel-pour-mener-des-attaques-ddos\/","title":{"rendered":"UNE VARIANTE ACTIVE DU BOTNET MIRAI EXPLOITE DES APPAREILS ZYXEL POUR MENER DES ATTAQUES DDOS"},"content":{"rendered":"\n

L’agence Am\u00e9ricaine de cybers\u00e9curit\u00e9 et de s\u00e9curit\u00e9 des infrastructures (CISA) a ajout\u00e9 \u00e0 son catalogue de vuln\u00e9rabilit\u00e9s exploit\u00e9es connues (KEV) une faille de gravit\u00e9 critique r\u00e9cemment corrig\u00e9e dans les appareils Zyxel. L’agence a indiqu\u00e9 que la faille de s\u00e9curit\u00e9<\/a><\/strong> a \u00e9t\u00e9 ajout\u00e9e \u00e0 la liste en raison de preuves d’une exploitation active par des acteurs de la menace.<\/p>\n\n\n\n

Le botnet actif Mirai exploite les appareils Zyxel pour mener des attaques DDoS<\/strong><\/p>\n\n\n\n

La vuln\u00e9rabilit\u00e9<\/a><\/strong> en question est r\u00e9pertori\u00e9e sous le nom de CVE-2023-28771, et son score CVSS est de 9,8. Le probl\u00e8me de s\u00e9curit\u00e9 est li\u00e9 \u00e0 une vuln\u00e9rabilit\u00e9 dans l’injection de commande qui a affect\u00e9 un large \u00e9ventail de mod\u00e8les de pare-feu et qui pourrait permettre \u00e0 un acteur de menaces non autoris\u00e9 d’ex\u00e9cuter un code arbitraire lorsqu’il envoie un paquet sp\u00e9cialement con\u00e7u \u00e0 l’appareil cibl\u00e9.<\/p>\n\n\n\n

Zyxel a aussi corrig\u00e9 la vuln\u00e9rabilit\u00e9 en question dans le cadre des mises \u00e0 jour qu’elle a publi\u00e9es \u00e0 la fin du mois d’avril. Cette faille a une port\u00e9e consid\u00e9rable et pourrait causer des dommages consid\u00e9rables \u00e0 de nombreux appareils si elle \u00e9tait exploit\u00e9e dans la nature.<\/p>\n\n\n\n

Les dispositifs susceptibles d’\u00eatre affect\u00e9s par cette s\u00e9curit\u00e9 comprennent l’ATP, la menace \u00e9tant pr\u00e9sente sur les versions ZLD V4.60 \u00e0 V5.35, qui a \u00e9t\u00e9 corrig\u00e9e dans la version ZLD V5.36. Elle affecte \u00e9galement les appareils USG FLEX de la version ZLD V4.60 \u00e0 V5.35, qui a \u00e9t\u00e9 corrig\u00e9e dans la version ZLD V5.36.<\/p>\n\n\n\n

La faille de s\u00e9curit\u00e9 affectera par ailleurs les versions VPN ZLD V4.60 \u00e0 V5.35 qui ont \u00e9t\u00e9 corrig\u00e9es dans le ZLD V5.36. En outre, elle affecte \u00e9galement les versions ZyWALL\/USG ZLD V4.60 \u00e0 V4.74 qui ont \u00e9t\u00e9 corrig\u00e9es dans ZLD V4.73 Patch 1.<\/p>\n\n\n\n

La vuln\u00e9rabilit\u00e9 est exploit\u00e9e dans la nature<\/strong><\/p>\n\n\n\n

La Shadowserver Foundation a publi\u00e9 un r\u00e9cent tweet sur cette vuln\u00e9rabilit\u00e9 et les dangers qu’elle repr\u00e9sente pour les utilisateurs.<\/p>\n\n\n\n

\n

Zyxel firewalls CVE-2023-28771 (pre-auth remote command OS injection) is being actively exploited to build a Mirai-like botnet. Internet-wide sweeps seen by over 700 of our IKEv2 aware honeypot sensors, since May 26th. Exploit PoC is public, so expect an increase in attacks. pic.twitter.com\/5GSiLhCrAJ<\/a><\/p>— The Shadowserver Foundation (@Shadowserver) May 27, 2023<\/a><\/blockquote>