Los piratas informáticos están explotando una vulnerabilidad crítica en el decodificador de paquetes de intercambio de claves de Internet de Zyxel, los investigadores de Greynoise advirtieron el lunes.
La vulnerabilidad, rastreada como CVE-2023-28771impulsó una ola repentina de intentos de explotación el lunes, con investigadores observando 244 direcciones IP únicas involucradas en la actividad.
Todas las direcciones estaban ubicadas en los EE. UU. Y se registraron en el negocio de Verizon, pero los investigadores advierten que debido a que la vulnerabilidad estaba ubicada sobre UDP (puerto 500), los atacantes pueden haber estado falsificando esas direcciones.
El análisis adicional sugiere que la actividad puede estar relacionada con una variante de la botnet de Mirai, dijeron los investigadores.
«Las cargas útiles vinculadas a Mirai sugieren que la actividad puede estar dirigida a inscribir dispositivos en botnets para ataques automatizados como DDoS o escaneo», dijeron los investigadores de Greynoise a Cybersecurity Dive por correo electrónico.
La vulnerabilidad, que implica una falla de inyección de comando de SO y afectó múltiples modelos de firewall, ha sido parcheado desde 2023. Ese año, Fortinet dijo que múltiples botnets de negación de servicio (DDoS) distribuidos (DDoS) intentaban explotar la vulnerabilidad.
Los investigadores de Greynoise dijeron el lunes que las direcciones IP recientemente identificadas no participaron en ninguna otra actividad relacionada con la explotación durante las dos semanas anteriores.
La compañía alentó a los equipos de seguridad a bloquear inmediatamente el IPS en cuestión, parche los dispositivos Zyxel expuestos a Internet y los monitoree para la actividad posterior a la explotación.
La explotación de vulnerabilidades en los dispositivos Legacy Zyxel ha sido una preocupación creciente. En enero, los investigadores de Greynoise advirtieron a los hackers apuntar a una vulnerabilidad — rastreado como CVE-2024-40891 — En dispositivos CPE Zyxel. Similarmente, Investigadores de Vulncheck advirtió en febrero que los piratas informáticos estaban tratando de explotar las vulnerabilidades en los dispositivos Zyxel al final de la vida.
Un portavoz de Verizon Business no estuvo disponible de inmediato. Los funcionarios de Zyxel no respondieron de inmediato a una solicitud de comentarios.
