Getty Images
Firewalls von Zyxel werden in ein zerstörerisches Botnetz verwickelt, das die Kontrolle über sie übernimmt, indem es eine kürzlich gepatchte Schwachstelle mit einem Schweregrad von 9,8 von 10 möglichen ausnutzt.
„Wenn Sie zum jetzigen Zeitpunkt ein anfälliges Gerät offengelegt haben, gehen Sie von einer Kompromittierung aus“, sagen Beamte von Shadowserver, einer Organisation, die Internetbedrohungen in Echtzeit überwacht. gewarnt vor vier Tagen. Die Beamten sagten, die Exploits kämen von einem Botnet, das Mirai ähnelt und die kollektive Bandbreite Tausender kompromittierter Internetgeräte nutzt, um Websites mit verteilten Denial-of-Service-Angriffen offline zu schalten.
Laut Daten von Shadowserver, die in den letzten 10 Tagen gesammelt wurden, stammten gemessen an den IP-Adressen 25 der 62 am häufigsten mit dem Internet verbundenen Geräte, die „Downstream-Angriffe“ durchführten – also Versuche, andere mit dem Internet verbundene Geräte zu hacken – von Zyxel.
Eine Sicherheitslücke mit Schweregrad 9.8 in Standardkonfigurationen
Der Softwarefehler, der zur Kompromittierung der Zyxel-Geräte verwendet wurde, wird als CVE-2023-28771 verfolgt, eine Schwachstelle durch nicht authentifizierte Befehlsinjektion mit einem Schweregrad von 9,8. Der Fehler, den Zyxel am 25. April behoben hat, kann ausgenutzt werden, um Schadcode mit einem speziell gestalteten IKEv2-Paket auf dem UDP-Port 500 des Geräts auszuführen.
Die kritische Schwachstelle besteht in Standardkonfigurationen der Firewall- und VPN-Geräte des Herstellers. Dazu gehören die Firmware-Versionen 4.60 bis 4.73 der ZyWALL/USG-Serie von Zyxel, die Firmware-Versionen 4.60 bis 5.35 der VPN-Serie, die Firmware-Versionen 4.60 bis 5.35 der USG FLEX-Serie und die Firmware-Versionen 4.60 bis 5.35 der ATP-Serie.
| Betroffene Serien | Betroffene Version | Patch-Verfügbarkeit |
|---|---|---|
| ATP | ZLD V4.60 bis V5.35 | ZLD V5.36 |
| USG FLEX | ZLD V4.60 bis V5.35 | ZLD V5.36 |
| VPN | ZLD V4.60 bis V5.35 | ZLD V5.36 |
| ZyWALL/USG | ZLD V4.60 bis V4.73 | ZLD V4.73 Patch 1 |
Am Mittwoch hat die Cybersecurity and Infrastructure Security Agency CVE-2023-28771 auf ihre Liste bekannter ausgenutzter Schwachstellen gesetzt. Die Behörde hat den Bundesbehörden bis zum 21. Juni Zeit gegeben, alle anfälligen Geräte in ihren Netzwerken zu reparieren.
Auch der Sicherheitsforscher Kevin Beaumont warnt seit letzter Woche vor einer großflächigen Ausnutzung der Schwachstelle.
„Diese #Zyxel-Schwachstelle wird derzeit massenhaft vom Mirai-Botnet ausgenutzt“, schrieb er auf Mastodon. „Eine Menge SMB-VPN-Boxen sind im Besitz.“
Messungen der Suchmaschine Shodan zeigen, dass fast 43.000 Zyxel-Geräte dem Internet ausgesetzt waren.
„Diese Zahl umfasst nur Geräte, die ihre Webschnittstellen im WAN verfügbar machen, was keine Standardeinstellung ist“, sagte Rapid7 und verwendete die Abkürzung für Wide Area Network, den Teil des Unternehmensnetzwerks, auf den über das Internet zugegriffen werden kann. „Da die Schwachstelle im VPN-Dienst liegt, der standardmäßig im WAN aktiviert ist, gehen wir davon aus, dass die tatsächliche Anzahl der gefährdeten und anfälligen Geräte viel höher sein wird.“
Ein VPN – kurz für Virtual Private Network – muss nicht auf einem Gerät konfiguriert werden, damit es angreifbar ist, sagte Rapid7. Zyxel-Geräte erfreuen sich schon lange großer Beliebtheit bei Hackern, da sie sich am Rande eines Netzwerks befinden, wo die Abwehr normalerweise geringer ist. Sobald sie infiziert sind, nutzen Angreifer die Geräte als Startrampe, um andere Geräte im Internet zu kompromittieren, oder als Angriffsfläche, um sich auf andere Teile des Netzwerks auszubreiten, zu dem sie gehören.
Während der Schwerpunkt hauptsächlich auf CVE-2023-28771 liegt, warnte Rapid7 vor zwei weiteren Schwachstellen – CVE-2023-33009 und CVE-2023-33010 –, die Zyxel letzte Woche gepatcht hat. Beide Schwachstellen haben außerdem einen Schweregrad von 9,8.
Da Infektionen durch CVE-2023-28771 auch fünf Wochen nach der Behebung durch Zyxel immer noch auftreten, ist klar, dass viele Gerätebesitzer Sicherheitsupdates nicht rechtzeitig installieren. Wenn sich die schlechte Patch-Hygiene auf die kürzlich behobenen Schwachstellen auswirkt, wird es wahrscheinlich bald zu weiteren Zyxel-Kompromittierungen kommen.
