Zyxel ファイアウォールが Mirai による攻撃を受ける

Apr 28, 2023

CVE-2023-28771 は、多くの Zyxel ファイアウォールに影響を与える重大なコマンド インジェクションの脆弱性で、Mirai のようなボットネットによって積極的に悪用されており、CISA の既知の悪用された脆弱性 (KEV) カタログに追加されました。

CVE-2023-28771 は、認証されていない攻撃者が、細工された IKE (インターネット キー交換) パケットを影響を受けるデバイスに送信することにより、OS コマンドをリモートで実行できるようにする脆弱性です。

2023 年 4 月に Zyxel によって修正されたこの脆弱性は、技術文書や PoC が公開されるとすぐに攻撃者によって悪用されることが予想されていましたが、その通りになりました。

「インターネット キー エクスチェンジ (IKE) はこのエクスプロイトを開始するために使用されるプロトコルですが、IKE 自体の脆弱性ではありませんが、この不正なデバッグ機能の結果であると考えられます。この不正なデバッグ機能は、しかし、IKE はこの脆弱性への経路を引き起こすことができる唯一の既知のプロトコルであるため、IKE を実行している Zyxel デバイスのみが実際にこの攻撃に対して脆弱である可能性が非常に高いです」と Censys の研究者は説明しました。

「この脆弱性は、問題のあるロギング機能に起因しています。ファイル ハンドルを開いてそのハンドルにデータを書き込むことで安全なファイル処理メカニズムを採用する代わりに、Zyxel は別のアプローチを選択しました。ユーザー制御の入力を組み込むことで「echo」コマンドを構築しました。データ。このエコー コマンドはその後、system() 呼び出しを通じて実行され、出力が /tmp 内のファイルに書き込まれます。コマンド構築プロセスはユーザー制御可能な入力の影響を受ける可能性があるため、この実装では OS コマンド インジェクション ベクターが導入されます。データのサニタイズはありません。」

悪用の試みは 5 月 25 日頃に始まり、さまざまなサイバーセキュリティ企業や組織によって追跡されています。

Censys は、世界中で 21,210 台の潜在的に脆弱なデバイスを特定しましたが、主にヨーロッパ (イタリア、フランス、スイス) で発生していました。

「これらのデバイスは、大小を問わず、あらゆる種類の家庭用ネットワークやビジネス ネットワークに導入されています。したがって、これらのデバイスが存在するネットワークの大部分は、通信やその他の種類のサービス プロバイダーになるでしょう」と彼らは指摘しています。

これまでにパッチが適用されていない脆弱なデバイスは侵害されていると見なされ、すでに攻撃 (DDoS 攻撃など) に利用されています。

セキュリティ侵害を修復する方法がわからないユーザーは、サービス プロバイダーに支援を求める必要があります。 必要なアップデートを適時に実装した方は、再度アップデートすることをお勧めします。Zyxel は、5 月 24 日に、同じファイアウォールの 2 つのバッファ オーバーフローの欠陥 (CVE-2023-33009、CVE-2023-33010) を修正する新しいパッチをリリースしました。