\n<\/aside>\n<\/p>\n
Las organizaciones que a\u00fan tienen que parchear una vulnerabilidad de gravedad 9.8 en los dispositivos de red fabricados por Zyxel se han convertido en la molestia p\u00fablica n\u00famero 1, ya que un n\u00famero considerable de ellos contin\u00faan siendo explotados y convertidos en botnets que lanzan ataques DDoS.<\/p>\n
Zyxel repar\u00f3 la falla el 25 de abril. Cinco semanas despu\u00e9s, Shadowserver, una organizaci\u00f3n que monitorea las amenazas de Internet en tiempo real, advirti\u00f3 que muchos firewalls y servidores VPN de Zyxel se hab\u00edan visto comprometidos en ataques que no mostraban signos de detenerse. La evaluaci\u00f3n de Shadowserver en ese momento fue: \u00abSi tiene un dispositivo vulnerable expuesto, asuma el compromiso\u00bb.<\/p>\n
El mi\u00e9rcoles, 12 semanas desde que Zyxel entreg\u00f3 un parche y siete semanas desde que Shadowserver hizo sonar la alarma, la empresa de seguridad Fortinet public\u00f3 una investigaci\u00f3n que informaba sobre un aumento en la actividad de explotaci\u00f3n realizada por m\u00faltiples actores de amenazas en las \u00faltimas semanas. Como fue el caso con los compromisos activos informados por Shadowserver, los ataques provinieron abrumadoramente de variantes basadas en Mirai, una aplicaci\u00f3n de c\u00f3digo abierto que los piratas inform\u00e1ticos utilizan para identificar y explotar vulnerabilidades comunes en enrutadores y otros dispositivos de Internet de las cosas.<\/p>\n
Cuando tiene \u00e9xito, Mirai convierte los dispositivos en botnets que potencialmente pueden ofrecer ataques distribuidos de denegaci\u00f3n de servicio de enormes tama\u00f1os.<\/p>\n
Aumentando la urgencia de parchear la vulnerabilidad de Zyxel, los investigadores publicaron en junio un c\u00f3digo de explotaci\u00f3n que cualquiera pod\u00eda descargar e incorporar en su propio software de botnet. A pesar de la amenaza clara e inminente, quedan suficientes dispositivos vulnerables incluso cuando los ataques contin\u00faan aumentando, dijo Cara Lin, investigadora de Fortinet, en el informe del jueves. Lin escribi\u00f3:<\/p>\n
\nDesde la publicaci\u00f3n del m\u00f3dulo de explotaci\u00f3n, ha habido un aumento sostenido de la actividad maliciosa. El an\u00e1lisis realizado por FortiGuard Labs identific\u00f3 un aumento significativo en las r\u00e1fagas de ataques a partir de mayo, como se muestra en el gr\u00e1fico de conteo de desencadenantes que se muestra en la Figura 1. Tambi\u00e9n identificamos varias redes de bots, incluida Dark.IoT, una variante basada en Mirai, as\u00ed como otra red de bots que emplea m\u00e9todos de ataque DDoS personalizados. En este art\u00edculo, brindaremos una explicaci\u00f3n detallada de la carga \u00fatil entregada a trav\u00e9s de CVE-2023-28771 y botnets asociados.<\/p>\n<\/blockquote>\n\nFigura 1: Actividad de ataque de Botnet.<\/p>\n
Fortinet<\/p>\n<\/figcaption><\/figure>\n
La vulnerabilidad utilizada para comprometer los dispositivos Zyxel, rastreada como CVE-2023-28771, es una vulnerabilidad de inyecci\u00f3n de comando no autenticada con una clasificaci\u00f3n de gravedad de 9.8. La falla se puede explotar con un paquete IKEv2 especialmente dise\u00f1ado en el puerto UDP 500 del dispositivo para ejecutar c\u00f3digo malicioso. La revelaci\u00f3n de Zyxel de la falla est\u00e1 aqu\u00ed.<\/p>\n\n Anuncio <\/span> <\/p>\n<\/aside>\nCVE-2023-28771 existe en las configuraciones predeterminadas del firewall y los dispositivos VPN del fabricante. Incluyen las versiones de firmware de la serie Zyxel ZyWALL\/USG de la 4.60 a la 4.73, las versiones de firmware de la serie VPN de la 4.60 a la 5.35, las versiones de firmware de la serie USG FLEX de la 4.60 a la 5.35 y las versiones de firmware de la serie ATP de la 4.60 a la 5.35.<\/p>\n
Lin de Fortinet dijo que durante el mes pasado, los ataques que explotaron CVE-2023-28771 se originaron en distintas direcciones IP y se dirigieron espec\u00edficamente a la capacidad de inyecci\u00f3n de comandos en un paquete de intercambio de claves de Internet transmitido por dispositivos Zyxel. Los ataques se implementan mediante herramientas como curl y wget, que descargan scripts maliciosos de los servidores controlados por el atacante.<\/p>\n\nFortinet<\/p>\n<\/figcaption><\/figure>\n
Adem\u00e1s de Dark.IoT, otro software de botnet que explota la vulnerabilidad incluye a Rapperbot y Katana, el \u00faltimo de los cuales est\u00e1 estrechamente vinculado a un canal de Telegram conocido como \u201cSHINJI.APP | Red de bots Katana\u201d.<\/p>\n
Dada la capacidad de los exploits para ejecutarse directamente en dispositivos de seguridad confidenciales, uno podr\u00eda haber asumido que las organizaciones afectadas ya habr\u00edan parcheado la vulnerabilidad subyacente. Por desgracia, los continuos intentos exitosos de explotaci\u00f3n demuestran que un n\u00famero no trivial de ellos todav\u00eda no lo ha hecho.<\/p>\n
\u201cLa presencia de vulnerabilidades expuestas en los dispositivos puede generar riesgos significativos\u201d, se\u00f1al\u00f3 Lin. \u201cUna vez que un atacante obtiene el control de un dispositivo vulnerable, puede incorporarlo a su botnet, lo que le permite ejecutar ataques adicionales, como DDoS. Para abordar esta amenaza de manera efectiva, es crucial priorizar la aplicaci\u00f3n de parches y actualizaciones siempre que sea posible\u201d.<\/p>\n<\/p><\/div>\n
Source link-49<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"Las organizaciones que a\u00fan tienen que parchear una vulnerabilidad de gravedad 9.8 en los dispositivos de red fabricados por Zyxel se han convertido en la molestia p\u00fablica n\u00famero 1, ya…<\/p>\n","protected":false},"author":1,"featured_media":743490,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21980],"tags":[3604,216,9031,36072,8,14677,1795,27113,110,243,2028,1570,1356,6512,91959],"_links":{"self":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/743489"}],"collection":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/comments?post=743489"}],"version-history":[{"count":1,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/743489\/revisions"}],"predecessor-version":[{"id":743491,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/743489\/revisions\/743491"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media\/743490"}],"wp:attachment":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media?parent=743489"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/categories?post=743489"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/tags?post=743489"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}