Français 
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
Les pare-feux Zyxel attaqués par Mirai
CVE-2023-28771, la vulnérabilité critique d'injection de commandes affectant de nombreux pare-feu Zyxel, est activement exploitée par un botnet de type Mirai et a été ajoutée au catalogue des vulnérabilités exploitées connues (KEV) de CISA.
CVE-2023-28771 est une vulnérabilité qui permet à des attaquants non authentifiés d'exécuter des commandes du système d'exploitation à distance en envoyant des paquets IKE (Internet Key Exchange) spécialement conçus à un appareil affecté.
Corrigé par Zyxel en avril 2023, il devait être rapidement exploité par des attaquants une fois que les descriptions techniques et les PoC seraient rendus publics - et c'est ce qui s'est passé.
"Bien qu'Internet Key Exchange (IKE) soit le protocole utilisé pour lancer cet exploit, ce n'est pas une vulnérabilité dans IKE lui-même, mais cela semble être le résultat de cette fonction de débogage malveillante qui n'aurait pas dû en faire une version de production du micrologiciel. Mais comme IKE est le seul protocole connu où le chemin vers cette vulnérabilité peut être déclenché, il est beaucoup plus probable que seuls les appareils Zyxel qui exécutent IKE soient réellement vulnérables à cette attaque", ont expliqué les chercheurs de Censys.
"Cette vulnérabilité provient d'une fonction de journalisation problématique. Au lieu d'utiliser un mécanisme de gestion de fichiers sécurisé en ouvrant un descripteur de fichier et en écrivant des données sur ce descripteur, Zyxel a choisi une approche différente : ils ont construit une commande "echo" en incorporant des données d'entrée contrôlées par l'utilisateur. Cette commande d'écho est ensuite exécutée via un appel system(), écrivant la sortie dans un fichier dans /tmp.
Les tentatives d'exploitation ont commencé vers le 25 mai et sont suivies par diverses sociétés et organisations de cybersécurité.
Censys a identifié 21 210 appareils potentiellement vulnérables dans le monde, mais principalement en Europe (c'est-à-dire en Italie, en France et en Suisse).
"Ces appareils sont déployés dans toutes sortes de réseaux résidentiels et commerciaux, grands et petits. Ainsi, la majorité des réseaux dans lesquels ces appareils peuvent être trouvés seront des télécoms et d'autres types de fournisseurs de services", ont-ils noté.
Les appareils vulnérables qui n'ont pas encore été corrigés doivent être considérés comme compromis et sont déjà exploités dans des attaques (par exemple, des attaques DDoS).
Les utilisateurs qui ne savent pas comment remédier à la compromission doivent demander l'aide de leur fournisseur de services. Ceux qui ont implémenté la mise à jour nécessaire à temps sont invités à mettre à jour à nouveau : Zyxel a publié de nouveaux correctifs pour corriger deux failles de débordement de tampon (CVE-2023-33009, CVE-2023-33010) dans ces mêmes pare-feu le 24 mai.