Хакерам ничего не стоит добавить уязвимые устройства в свой ботнет и использовать в масштабных DDoS-кампаниях.

Сетевые устройства Zyxel, которые не были обновлены после обнаружения критической уязвимости в апреле, стали главной целью хакеров, которые используют их для создания ботнетов и проведения DDoS-атак.

Уязвимость, получившая идентификатор CVE-2023-28771 , позволяет злоумышленникам выполнить произвольный код на устройствах Zyxel с помощью специально сформированного пакета IKEv2. Она затрагивает межсетевые экраны и VPN-серверы Zyxel с настройками по умолчанию. 25 апреля Zyxel выпустил патч для этой уязвимости, но многие организации до сих пор не обновили свои устройства.

В конце мая организация Shadowserver, которая отслеживает интернет-угрозы в режиме реального времени, предупредила , что множество устройств Zyxel были скомпрометированы в атаках, которые до сих пор не прекращаются. Shadowserver рекомендовала считать все уязвимые устройства заражёнными.

На прошлой неделе компания Fortinet опубликовала собственное исследование , в котором сообщила о резком росте активности атак, проводимых разными хакерскими группами в последние недели. Большинство атак основаны на вариантах Mirai — программе для поиска и эксплуатации общих уязвимостей в роутерах и других устройствах интернета вещей. После успешной эксплуатации Mirai объединяет устройства в ботнеты, которые могут проводить масштабные DDoS-атаки.

Между тем, PoCэксплойт для уязвимых устройств Zyxel был опубликован исследователями ещё в начале июня, чтобы как-то подстегнуть владельцев данного сетевого оборудования обновить свои устройства. Но, похоже, данный план не сработал, судя по тому громадному количеству устройств, всё ещё подверженным уязвимости.

«С момента публикации модуля эксплойта наблюдается постоянный всплеск злонамеренной активности. Анализ, проведённый FortiGuard Labs, показал значительное увеличение числа атак с мая. Мы также выявили несколько ботнетов, включая Dark.IoT, основанный на Mirai, а также другой ботнет, который использует специализированные методы DDoS-атак», — заявила в отчёте Fortinet исследователь безопасности Кара Лин.

Лин отдельно отметила, что в течение последнего месяца атаки, использующие CVE-2023-28771, фиксировались с разных IP-адресов и специально нацеливались на возможность внедрения команд в пакете Internet Key Exchange, передаваемом устройствами Zyxel. Атаки осуществлялись с помощью инструментов, таких как curl и wget, которые загружали злонамеренные скрипты с серверов, контролируемых хакерами.

Кроме Dark.IoT, другие программы для создания ботнетов, использующие уязвимость, включали Rapperbot и Katana.

Учитывая возможность выполнения эксплойтов непосредственно на уязвимых устройствах, можно было предположить, что затронутые организации уже давно устранили данную уязвимость. Но увы, продолжающиеся успешные попытки эксплуатации демонстрируют, что немалое число компаний по какой-то причине до сих пор этого не сделало.

«Наличие известных уязвимостей в корпоративных устройствах может привести к серьёзным рискам. Как только злоумышленники получат контроль над уязвимым устройством, они могут включить его в свой ботнет, что позволит выполнять различного рода атаки, такие как DDoS», — отметила Лин.

Эксперт Fortinet также добавила, что организациям крайне важно правильно расставлять приоритеты и уделять больше внимания безопасности. Устанавливать обновления и исправления нужно регулярно, в ином случае вся внутренняя инфраструктура компании будет под угрозой хакерской атаки.

Источник: securitylab