
Getty Resimleri
Zyxel tarafından yapılan güvenlik duvarları, olası 10 üzerinden 9,8 önem derecesi ile yakın zamanda yamalanmış bir güvenlik açığından yararlanarak bunların kontrolünü ele geçiren yıkıcı bir botnet’e dönüşüyor.
İnternet tehditlerini gerçek zamanlı olarak izleyen bir kuruluş olan Shadowserver’dan yetkililer, “Bu aşamada, savunmasız bir cihazınız varsa, uzlaşmayı kabul edin”, uyardı dört gün önce. Yetkililer, istismarların, dağıtılmış hizmet reddi saldırılarıyla siteleri çevrimdışı duruma getirmek için güvenliği ihlal edilmiş binlerce İnternet cihazının toplu bant genişliğinden yararlanan Mirai’ye benzer bir botnet’ten geldiğini söyledi.
Shadowserver’ın son 10 gün içinde topladığı verilere göre, IP adresleriyle ölçüldüğü üzere, İnternet’e bağlı diğer cihazları hacklemeye çalışmak anlamına gelen “aşağı akış saldırıları” yürüten İnternet’e bağlı ilk 62 cihazdan 25’i Zyxel tarafından yapılmıştır.

Varsayılan yapılandırmalarda 9.8 düzeyinde bir güvenlik açığı
Zyxel cihazlarını tehlikeye atmak için kullanılan yazılım hatası, önem derecesi 9,8 olan kimliği doğrulanmamış bir komut enjeksiyon güvenlik açığı olan CVE-2023-28771 olarak izleniyor. Zyxel’in 25 Nisan’da yamaladığı kusur, cihazdaki UDP bağlantı noktası 500’e özel hazırlanmış bir IKEv2 paketiyle kötü amaçlı kod yürütmek için kullanılabilir.
Kritik güvenlik açığı, üreticinin güvenlik duvarı ve VPN cihazlarının varsayılan yapılandırmalarında bulunmaktadır. Zyxel ZyWALL/USG serisi sabit yazılım sürümleri 4.60 – 4.73, VPN serisi sabit yazılım sürümleri 4.60 – 5.35, USG FLEX serisi sabit yazılım sürümleri 4.60 – 5.35 ve ATP serisi sabit yazılım sürümleri 4.60 – 5.35 içerir.
Etkilenen seriler | Etkilenen sürüm | Yama kullanılabilirliği |
---|---|---|
ATP | ZLD V4.60’tan V5.35’e | ZLD V5.36 |
USG ESNEK | ZLD V4.60’tan V5.35’e | ZLD V5.36 |
vpn | ZLD V4.60’tan V5.35’e | ZLD V5.36 |
ZyWALL/USG | ZLD V4.60’tan V4.73’e | ZLD V4.73 Yama 1 |
Çarşamba günü Siber Güvenlik ve Altyapı Güvenliği Ajansı, CVE-2023-28771’i bilinen istismar edilen güvenlik açıkları listesine ekledi. Ajans, ağlarındaki savunmasız cihazları düzeltmeleri için federal kurumlara 21 Haziran’a kadar süre verdi.
Güvenlik araştırmacısı Kevin Beaumont da geçen haftadan bu yana güvenlik açığının yaygın olarak kullanıldığı konusunda uyarılarda bulunuyor.
Mastodon’da “Bu #Zyxel güvenlik açığı şu anda Mirai botnet tarafından toplu olarak sömürülüyor” diye yazdı. “Bir ton SMB VPN kutusuna sahip olunuyor.”
Shodan arama motorundan yapılan ölçümler, internete maruz kalan yaklaşık 43.000 Zyxel cihazı örneğini gösteriyor.
Rapid7, bir şirket ağının İnternet üzerinden erişilebilen parçası olan geniş alan ağının kısaltmasını kullanarak, “Bu sayı yalnızca varsayılan bir ayar olmayan WAN’da web arayüzlerini açığa çıkaran cihazları içerir” dedi. “Güvenlik açığı, WAN’da varsayılan olarak etkinleştirilen VPN hizmetinde olduğu için, açığa çıkan ve savunmasız cihazların gerçek sayısının çok daha yüksek olmasını bekliyoruz.”
Rapid7, sanal özel ağın kısaltması olan bir VPN’nin bir cihazda savunmasız olması için yapılandırılması gerekmediğini söyledi. Zyxel cihazları, savunmaların genellikle daha düşük olduğu bir ağın ucunda bulundukları için uzun süredir bilgisayar korsanlığı için favori olmuştur. Saldırganlar, virüs bulaştıktan sonra, cihazları İnternet’teki diğer cihazları tehlikeye atmak için bir fırlatma rampası veya ait oldukları ağın diğer bölümlerine yayılmak için kullanılabilecek bir ayak parmağı olarak kullanır.
Odak noktasının çoğu CVE-2023-28771 olsa da Rapid7, Zyxel’in geçen hafta yama yaptığı diğer iki güvenlik açığı (CVE-2023-33009 ve CVE-2023-33010) hakkında uyarıda bulundu. Her iki güvenlik açığı da 9,8 önem derecesine sahiptir.
Zyxel’in düzeltmesinden beş hafta sonra CVE-2023-28771’den kaynaklanan bulaşmalar devam ederken, birçok cihaz sahibinin güvenlik güncellemelerini zamanında yüklemediği açıktır. Kötü yama hijyeni, daha yakın zamanda düzeltilen güvenlik açıklarına taşınırsa, yakında daha fazla Zyxel uzlaşması olacaktır.