Les pirates exploitent la faille critique du pare-feu Zyxel dans les attaques en cours

Les pirates exploitent à grande échelle une faille d’injection de commande de gravité critique dans les périphériques réseau Zyxel, suivie sous le nom de CVE-2023-28771, pour installer des logiciels malveillants.

La faille, qui est présente dans la configuration par défaut des pare-feu et des périphériques VPN concernés, peut être exploitée pour exécuter du code à distance non authentifié à l’aide d’un paquet IKEv2 spécialement conçu vers le port UDP 500 sur le périphérique.

Zyxel a publié des correctifs pour la vulnérabilité le 25 avril 2023, avertissant les utilisateurs des versions de produit suivantes à appliquer pour résoudre la vulnérabilité :

• ATP – ZLD V4.60 to V5.35
• USG FLEX – ZLD V4.60 to V5.35
• VPN- ZLD V4.60 to V5.35
• ZyWALL/USG – ZLD V4.60 to V4.73

Aujourd’hui, la CISA a publié une alerte avertissant que CVE-2023-28771 est activement exploité par des attaquants, exhortant les agences fédérales à appliquer la mise à jour disponible d’ici le 21 juin 2023.

Zyxel firewalls CVE-2023-28771 (pre-auth remote command OS injection) is being actively exploited to build a Mirai-like botnet. Internet-wide sweeps seen by over 700 of our IKEv2 aware honeypot sensors, since May 26th. Exploit PoC is public, so expect an increase in attacks. pic.twitter.com/5GSiLhCrAJ

— Shadowserver (@Shadowserver) May 27, 2023

Cette alerte coïncide avec une vérification supplémentaire de Rapid7 aujourd’hui qui confirme l’exploitation active de la faille.

L’un des clusters d’activités confirmés pour exploiter CVE-2023-28771 est un malware botnet basé sur Mirai qui, selon Shadowserver, a commencé à lancer des attaques le 26 mai 2023.

Une activité similaire a été repérée par le chercheur en cybersécurité Kevin Beaumont un jour plus tôt, qui a mis en évidence l’utilisation d’un exploit PoC (preuve de concept) accessible au public.

Alors que la menace Mirai est généralement limitée au DDoS (déni de service distribué), d’autres groupes de menaces peuvent s’engager dans une exploitation à plus petite échelle et moins perceptible pour lancer des attaques plus puissantes contre les organisations.

Il est également important de noter que Zyxel a récemment corrigé deux autres failles de gravité critique, CVE-2023-33009 et CVE-2023-33010, qui affectent les mêmes produits de pare-feu et VPN.

Les deux failles pourraient permettre à des attaquants non authentifiés d’imposer un déni de service sur des appareils vulnérables ou d’exécuter du code arbitraire.

Les administrateurs système doivent appliquer les mises à jour de sécurité disponibles dès que possible pour atténuer les risques d’exploitation émergents, car les failles les plus récentes ne manqueront pas d’attirer l’attention des acteurs malveillants.

Au moment de la rédaction de cet article, il est recommandé aux utilisateurs de mettre à niveau la dernière version de micrologiciel disponible vers « ZLD V5.36 Patch 2 » pour ATP – ZLD, USG FLEX et VPN-ZLD, et « ZLD V4.73 Patch 2 » pour ZyWALL.