最后更新于2023年6月5日星期一14:47:19 GMT
Rapid7正在跟踪正在进行的利用 cve - 2023 - 28771, 一个严重的未经认证的命令注入漏洞,影响多个Zyxel网络设备.
该漏洞存在于易受攻击设备的默认配置中,并且可以在广域网(WAN)接口中利用, 哪些是打算暴露在互联网上的. 不需要在设备上配置VPN, VPN就容易受到攻击. 成功利用cve - 2023 - 28771漏洞,未经身份验证的攻击者可以通过向设备的UDP端口500发送特制的IKEv2数据包,在目标系统上远程执行代码.
Zyxel发布了一份咨询报告 针对cve - 2023 - 28771于2023年4月25日发布. 5月19日,Rapid7的研究人员发表了一篇论文 技术分析 攻击者知识库上的漏洞,强调了利用的可能性.
截至5月19日,至少有 42000个实例 在公共互联网上发布了Zyxel设备. 然而,作为Rapid7的研究人员 指出, 此数字仅包括在WAN上公开其web接口的设备, 哪个不是默认设置. 因为漏洞在VPN服务中, 在广域网上默认启用哪个, 我们预计暴露和易受攻击的设备的实际数量要高得多.
截至5月26日,该漏洞被广泛利用,Zyxel的设备也遭到了破坏 用来进行下游攻击 作为基于mirai的僵尸网络的一部分. Mirai僵尸网络经常被用于DDoS攻击.
虽然cve - 2023 - 28771目前引起了大规模威胁参与者的关注,但Zyxel发布了一份 咨询 对于另外两个漏洞- cve - 2023 - 33009 和 cve - 2023 - 33010 ——2023年5月24日. cve - 2023 - 33009和cve - 2023 - 33010是缓冲区溢出漏洞,可以允许未经身份验证的攻击者在受影响的设备上导致DoS条件或执行任意代码.
我们强烈建议受影响的Zyxel产品的用户更新到 最新的 紧急情况下的固件. 在撰写本文时,最新的固件版本是5.36补丁2或4.73 ZyWALL/USG补丁2. 合勤科技的 咨询 欲知更多详情.
Rapid7客户
对于InsightVM和expose客户,远程漏洞检查 cve - 2023 - 28771 自2023年5月19日内容发布以来已可用. cve - 2023 - 33009和cve - 2023 - 33010的其他远程漏洞检查将于5月31日提供, 2023年内容发布.
美国东部时间5月31日下午12:45更新: 美国.S. 网络安全和基础设施安全局(CISA)现在 添加 cve - 2023 - 28771加入已知被利用漏洞(KEV)列表.
