Η Fortinet εξέδωσε μια προειδοποίηση σχετικά με το κακόβουλο λογισμικό botnet Gafgyt, το οποίο επιχειρεί ενεργά να εκμεταλλευτεί μια ευπάθεια στον δρομολογητή EoL Zyxel. Αυτή η ευπάθεια είναι παρούσα στην τελευταία φάση του κύκλου ζωής του δρομολογητή και οδηγεί σε χιλιάδες επιθέσεις καθημερινά.

Δείτε επίσης: BitForge: Nέα cryptocurrency wallet zero day ελαττώματα επιτρέπουν κλοπή crypto

Το Gafgyt στοχεύει το CVE-2017-18368, μια ευπάθεια command injection κρίσιμης σοβαρότητας (CVSS v3: 9.8) στη λειτουργία προώθησης των απομακρυσμένων συστημάτων καταγραφής της συσκευής. Η ευπάθεια αυτή είχε διορθωθεί από την Zyxel το 2017.

Η Zyxel προειδοποίησε νωρίτερα για τον κίνδυνο από την τότε νέα παραλλαγή Gafgyt το 2019, παροτρύνοντας τους χρήστες να αναβαθμίσουν την ξεπερασμένη έκδοση υλικολογισμικού στην πιο πρόσφατη έκδοση για να προστατεύσουν τις συσκευές τους από επιθέσεις. Παρόλα αυτά, η Fortinet συνεχίζει να αντιμετωπίζει κατά μέσο όρο 7.100 επιθέσεις ανά ημέρα από τις αρχές του Ιουλίου 2023, με τον αριθμό των επιθέσεων να παραμένει υψηλός μέχρι και σήμερα.

«[Από τις] 7 Αυγούστου 2023, τα εργαστήρια FortiGuard συνεχίζουν να βλέπουν προσπάθειες επίθεσης που στοχεύουν στην ευπάθεια του 2017 και έχουν μπλοκάρει τις προσπάθειες επίθεσης σε περισσότερες από χιλιάδες μοναδικές συσκευές IPS τον τελευταίο μήνα», αναφέρει μια νέα ειδοποίηση της Fortinet.

Δεν είναι σαφές ποιο μέρος των προσπαθειών επίθεσης οδήγησε σε επιτυχείς μολύνσεις. Παρ’ όλα αυτά, η δραστηριότητα παρέμεινε σταθερή από τον Ιούλιο.

Η CISA προειδοποίησε αυτήν την εβδομάδα για την ενεργή εκμετάλλευση του CVE-2017-18368 σε αυτήν την περίπτωση, προσθέτοντας το ευπάθεια στη λίστα με γνωστά ευάλωτα σημεία που υφίστανται επίθεση. Η υπηρεσία κυβερνοασφάλειας απαιτεί πλέον από τις ομοσπονδιακές υπηρεσίες να διορθώσουν την ευπάθεια του Zyxel έως τις 28 Αυγούστου 2023.

Δείτε ακόμα: WordPress Ninja Forms: Ελάττωμα στo πρόσθετο επιτρέπει κλοπή δεδομένων

Ανταποκρινόμενη στην αυξανόμενη εκμετάλλευση, η Zyxel ενημέρωσε τη συμβουλευτική ασφαλείας της, επισημαίνοντας στους πελάτες ότι το CVE-2017-18363 επηρεάζει μόνο συσκευές που εκτελούν εκδόσεις υλικολογισμικού 7.3.15.0 v001/3.40(ULM.0)b31 ή παλαιότερες.

Οι δρομολογητές Zyxel P660HN-T1A που εκτελούν την πιο πρόσφατη έκδοση υλικολογισμικού που διατέθηκε το 2017 για την επιδιόρθωση

του σφάλματος, δηλαδή την έκδοση 3.40(BYF.11), δεν επηρεάζονται από αυτές τις επιθέσεις. Ωστόσο, ο πωλητής επισημαίνει ότι η συσκευή έχει φτάσει στο τέλος του κύκλου ζωής της και δεν υποστηρίζεται πλέον. Συνεπώς, θα ήταν σοφό να εξετάσετε τη μετάβαση σε ένα νεότερο μοντέλο.

Λάβετε υπόψη ότι το P660HN-T1A έφτασε στο τέλος της ζωής του πριν από αρκετά χρόνια· επομένως, συνιστούμε στους χρήστες να το αντικαταστήσουν με ένα προϊόν νεότερης γενιάς για βέλτιστη προστασία“, προειδοποιεί η Zyxel.

Οι ενδείξεις κοινών μολύνσεων botnet σε δρομολογητές περιλαμβάνουν προβλήματα στη σύνδεση, υπερθέρμανση της συσκευής, απροσδόκητες αλλαγές στις ρυθμίσεις, έλλειψη απόκρισης, ασυνήθιστη κίνηση στο δίκτυο, άνοιγμα νέων θυρών και απροσδόκητες επανεκκινήσεις.

Αν υποψιάζεστε πως υπάρχει παραβίαση από κακόβουλο λογισμικό botnet, συνιστάται να επαναφέρετε τις εργοστασιακές ρυθμίσεις, να ενημερώσετε το υλικολογισμικό της συσκευής σας στην πιο πρόσφατη έκδοση, και να αλλάξετε τα προεπιλεγμένα διαπιστευτήρια του διαχειριστή χρήστη.

Δείτε επίσης: Ubuntu: Το 40% των χρηστών είναι ευάλωτοι σε νέα ελαττώματα privilege elevation

Επιπλέον, συνιστάται να απενεργοποιήσετε την απομακρυσμένη διαχείριση και να διαχειρίζεστε τις συσκευές αποκλειστικά από το εσωτερικό του δικτύου σας.

Η Zyxel είναι μια από τις πιο αξιόπιστες εταιρείες που προσφέρουν λύσεις δικτύωσης. Παρόλα αυτά, η συνεχής ανάπτυξη και αλλαγή τεχνολογιών απαιτεί σταθερή ενημέρωση και προσαρμογή των προϊόντων. Έτσι, η Zyxel ενθαρρύνει τους χρήστες της να αναβαθμίζουν τακτικά το υλικολογισμικό των συσκευών τους και να αντικαθιστούν τις παλιές συσκευές με νεότερα μοντέλα, προκειμένου να εξασφαλίσουν την καλύτερη δυνατή προστασία των δεδομένων και των δικτύων τους.