Fortinet a émis une alerte avertissant que le malware botnet Gafgyt tente activement d’exploiter une vulnérabilité dans le routeur Zyxel P660HN-T1A en fin de vie dans des milliers d’attaques quotidiennes.

Le logiciel malveillant cible CVE-2017-18368, une vulnérabilité d’injection de commande non authentifiée de gravité critique (CVSS v3 : 9.8) dans la fonction de transfert du journal du système à distance de l’appareil, qui a été corrigée par Zyxel en 2017.

Zyxel avait précédemment souligné la menace de la nouvelle variante Gafgyt en 2019, exhortant les utilisateurs utilisant toujours une version de micrologiciel obsolète à passer à la dernière version pour protéger leurs appareils contre la prise de contrôle.

Cependant, Fortinet continue de voir une moyenne de 7 100 attaques par jour depuis début juillet 2023, le volume d’attaques se poursuivant aujourd’hui.

« [Au] 7 août 2023, FortiGuard Labs continue de voir des tentatives d’attaque ciblant la vulnérabilité de 2017 et a bloqué les tentatives d’attaque de plus de milliers d’appareils IPS uniques au cours du mois dernier », lit-on dans une nouvelle alerte d’épidémie Fortinet publiée aujourd’hui.

Tentatives d’exploitation de CVE-2017-18368 dans les routeurs Zyxel

On ne sait pas quelle partie des tentatives d’attaque observées a abouti à des infections réussies. Cependant, l’activité est restée à un volume stable depuis juillet.

CISA a également mis en garde cette semaine contre l’exploitation active de CVE-2017-18368 dans la nature, ajoutant la faille à son catalogue de vulnérabilités exploitées connues.

L’agence de cybersécurité exige désormais que les agences fédérales corrigent la vulnérabilité Zyxel d’ici le 28 août 2023.

En réponse à l’épidémie d’exploitation, Zyxel a mis à jour son avis de sécurité, rappelant aux clients que CVE-2017-18363 n’affecte que les appareils exécutant les versions de firmware 7.3.15.0 v001/3.40(ULM.0)b31 ou antérieures.

Les routeurs P660HN-T1A exécutant la dernière version du firmware mise à disposition en 2017 pour remédier à la faille, la version 3.40(BYF.11), ne sont pas impactés par ces attaques.

Cependant, le fournisseur souligne que l’appareil a atteint la fin de sa durée de vie et n’est plus pris en charge, il serait donc judicieux de passer à un modèle plus récent.

« Veuillez noter que le P660HN-T1A est arrivé en fin de vie il y a plusieurs années ; par conséquent, nous recommandons vivement aux utilisateurs de le remplacer par un produit de nouvelle génération pour une protection optimale », prévient Zyxel.

Les signes courants d’infections par botnet sur les routeurs incluent une connectivité instable, une surchauffe de l’appareil, des changements de configuration soudains, une absence de réponse, un trafic réseau atypique, l’ouverture de nouveaux ports et des redémarrages inattendus.

Si vous soupçonnez une compromission d’un logiciel malveillant de botnet, effectuez une réinitialisation d’usine, mettez à jour le micrologiciel de votre appareil vers la dernière version et modifiez les informations d’identification de l’utilisateur administrateur par défaut.

En outre, il est conseillé de désactiver le panneau d’administration à distance et de ne gérer que les appareils de votre réseau interne.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *