La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ajoutée une faille de sécurité critique récemment corrigée dans l’équipement Zyxel à ses vulnérabilités exploitées connues (KEV) catalogue, citant des preuves d’exploitation active.
Suivi comme CVE-2023-28771 (score CVSS : 9,8), le problème concerne une faille d’injection de commande affectant différents modèles de pare-feu qui pourrait permettre à un attaquant non authentifié d’exécuter du code arbitraire en envoyant un paquet spécialement conçu à l’appareil.
Zyxel a corrigé le défaut de sécurité dans le cadre des mises à jour publiées le 25 avril 2023. La liste des appareils concernés est ci-dessous –
- ATP (versions ZLD V4.60 à V5.35, patché dans ZLD V5.36)
- USG FLEX (versions ZLD V4.60 à V5.35, corrigées dans ZLD V5.36)
- VPN (versions ZLD V4.60 à V5.35, patché dans ZLD V5.36), et
- ZyWALL/USG (versions ZLD V4.60 à V4.73, corrigées dans ZLD V4.73 Patch 1)
La Fondation Shadowserver, dans un tweet récenta déclaré que la faille est « activement exploitée pour créer un botnet de type Mirai » depuis le 26 mai 2023. La société de cybersécurité Rapid7 a également averti d’abus « généralisé » de CVE-2023-28771.
À la lumière de ce développement, il est impératif que les utilisateurs agissent rapidement pour appliquer les correctifs afin d’atténuer les risques potentiels. Les agences fédérales aux États-Unis sont tenues de mettre à jour leurs appareils d’ici le 21 juin 2023.
Zero Trust + Deception : apprenez à déjouer les attaquants !
Découvrez comment Deception peut détecter les menaces avancées, arrêter les mouvements latéraux et améliorer votre stratégie Zero Trust. Rejoignez notre webinaire perspicace !
La divulgation intervient également en tant qu’unité 42 de Palo Alto Networks détaillé une nouvelle vague d’attaques montées par une variante active du botnet Mirai baptisée IZ1H9 depuis début avril 2023.
Il a été constaté que les intrusions exploitaient plusieurs failles d’exécution de code à distance dans les appareils IoT exposés à Internet, y compris Zyxel, pour les piéger dans un réseau afin d’orchestrer des attaques par déni de service distribué (DDoS).
Il convient de noter que Mirai a engendré un certain nombre de clones depuis la fuite de son code source en octobre 2016.
« Les appareils IoT ont toujours été une cible lucrative pour les acteurs de la menace, et les attaques d’exécution de code à distance continuent d’être les menaces les plus courantes et les plus préoccupantes affectant les appareils IoT et les serveurs Linux », a déclaré l’unité 42.
« Les vulnérabilités utilisées par cette menace sont moins complexes, mais cela ne diminue pas leur impact, car elles pourraient toujours conduire à l’exécution de code à distance. »