English
Français
Deutsch
Español
Italiano
Português
日本語
한국어
10 замечательных комментариев читателей о путешествиях
May 02, 202311 удивительных подарков ко Дню отца для отца, любящего приключения
May 03, 202313 лучших рюкзаков для школы 2023 года: доступные варианты от Nike, Jansport и других брендов
Apr 17, 202313 лучших рюкзаков для школы 2023 года: доступные варианты от Nike, Jansport и других брендов
Nov 12, 202314 лучших сумок для выходных, симпатичных и невероятно вместительных
Aug 20, 2023Межсетевые экраны Zyxel подверглись атаке Mirai
Apr 28, 2023CVE-2023-28771, критическая уязвимость внедрения команд, затрагивающая многие межсетевые экраны Zyxel, активно используется ботнетом, подобным Mirai, и была добавлена в каталог известных эксплуатируемых уязвимостей (KEV) CISA.
CVE-2023-28771 — это уязвимость, которая позволяет не прошедшим проверку подлинности злоумышленникам удаленно выполнять команды ОС, отправляя созданные пакеты IKE (Internet Key Exchange) на уязвимое устройство.
Исправлено Zyxel в апреле 2023 года. Ожидалось, что оно будет быстро использовано злоумышленниками, как только технические описания и PoC будут обнародованы — и так оно и произошло.
«Хотя Internet Key Exchange (IKE) является протоколом, используемым для инициации этого эксплойта, он не является уязвимостью в самом IKE, но, похоже, это результат этой мошеннической функции отладки, которая не должна была попасть в производственную сборку Но поскольку IKE — единственный известный протокол, в котором может быть задействована эта уязвимость, гораздо более вероятно, что только устройства Zyxel, на которых работает IKE, на самом деле уязвимы для этой атаки», — объяснили исследователи Censys.
«Эта уязвимость связана с проблемной функцией регистрации. Вместо использования механизма безопасной обработки файлов путем открытия дескриптора файла и записи данных в этот дескриптор, Zyxel выбрал другой подход: они создали команду «эхо», включив ввод, управляемый пользователем. Эта команда echo впоследствии выполняется посредством вызова system(), записывая выходные данные в файл в /tmp. Эта реализация вводит вектор внедрения команд ОС, поскольку на процесс построения команды могут влиять входные данные, управляемые пользователем, и там это не очистка данных».
Попытки эксплуатации начались примерно 25 мая и отслеживаются различными компаниями и организациями, занимающимися кибербезопасностью.
Censys выявила 21 210 потенциально уязвимых устройств по всему миру, но преимущественно в Европе (т. е. в Италии, Франции и Швейцарии).
«Эти устройства развернуты во всех видах жилых и деловых сетей, как больших, так и малых. Таким образом, большинство сетей, в которых можно найти эти устройства, будут принадлежать телекоммуникационным компаниям и другим типам поставщиков услуг», — отметили они.
Уязвимые устройства, которые еще не были исправлены, следует считать скомпрометированными и уже используются в атаках (например, DDoS-атаках).
Пользователи, которые не знают, как устранить угрозу, должны обратиться за помощью к своему поставщику услуг. Тем, кто вовремя внедрил необходимое обновление, рекомендуется обновиться еще раз: 24 мая Zyxel выпустила новые патчи, исправляющие две ошибки переполнения буфера (CVE-2023-33009, CVE-2023-33010) в тех же межсетевых экранах.