Breve
Una vulnerabilidad de inyección de comando en Zyxel Los dispositivos de la serie CPE están atacados por los actores de amenaza y no hay corrección disponible.
El error, seguido como CVE-2024-40891, fue descubierto por primera vez por Vulcheck, una compañía de inteligencia de vulnerabilidades, y se reveló al vendedor en julio pasado. Medio año después, Zyxel aún no ha corregido ni ha mencionado la vulnerabilidad.
Si se explota con éxito, el CVE-2024-40891 podría permitir a los interesados de amenaza ejecutar órdenes arbitrarias en dispositivos infectados, lo que conduce a un compromiso del sistema, infiltración de red y fugas de datos, según Vulcheck.
Los investigadores de Graynoise estaban siendo coordinados con investigadores de vulcheck sobre la explotación de la vulnerabilidad y decidieron revelar Públicamente esta semana debido a la “gran cantidad de ataques” que observaron.
También señalaron que CVE-2024-40891 es muy similar a un problema conocido seguido bajo el nombre de CVE-2024-40890, la principal diferencia entre los dos es uno se basa en Telnet y el otro basado en HTTP. Sin embargo, ambos permiten a los atacantes no autenticados ejecutar órdenes arbitrarias utilizando cuentas de servicio, ya sea en los roles “supervisor” o “zyuser”.
La ausencia de una corrección podría ser un problema importante: Censys informa más de 1,500 dispositivos en línea vulnerables, y parece que algunos operadores de Botnet han creado exploits para el error en su código, según Greynoise.
“Después de haber identificado una superposición significativa entre el CVE-2024-40891 IP del operador y los clasificados como Mirai, el equipo estudió una variante reciente de Mirai y confirmó que la capacidad de explotar el CVE-2024-40891 se ha incorporado en algunas cepas de Mirai. “Los investigadores han notado.
Dado que no existe un correctivo actual, Greynoise ha recomendado que los usuarios filtren el tráfico para solicitudes inusuales a las interfaces de administración del CPE de Zyxel, monitorean las actualizaciones de seguridad de Zyxel para averiguar si se pone una corrección disponible, restringir el acceso a la interfaz administrativa a IPS de confianza y Desactivar las características de gestión remota no utilizadas.