
Zyxel a publié un avis de sécurité contenant des conseils sur la protection des pare-feu et des périphériques VPN contre les attaques en cours et la détection des signes d’exploitation.
Cet avertissement fait suite à de multiples rapports d’exploitation généralisée de CVE-2023-28771 et à l’exploitabilité et à la gravité de CVE-2023-33009 et CVE-2023-33010, tous affectant les périphériques VPN et pare-feu de Zyxel.
« Zyxel a exhorté les utilisateurs à installer les correctifs via plusieurs canaux, notamment en publiant plusieurs bulletins d’information sur la sécurité aux utilisateurs enregistrés et aux abonnés aux conseils ; en informant les utilisateurs de la mise à niveau via la notification push de l’interface graphique Web pour les appareils sur site ; et en appliquant les mises à niveau programmées du micrologiciel pour le cloud. , qui ne l’ont pas encore fait », prévient l’avis de sécurité de Zyxel.
Les botnets malveillants exploitent actuellement CVE-2023-28771 pour exécuter des commandes à distance non authentifiées via des paquets malveillants spécialement conçus et infecter les appareils.
Les deux autres failles, CVE-2023-33009 et CVE-2023-33010, sont des bogues de dépassement de mémoire tampon qui pourraient permettre à des attaquants non authentifiés d’imposer un état de déni de service sur des appareils vulnérables ou d’exécuter du code à distance.
Le tableau suivant récapitule les produits Zyxel concernés, les versions de firmware vulnérables et les mises à jour de sécurité cibles pour chacun.

Signes de trouble et atténuation
Zyxel indique que les indicateurs forts d’un appareil piraté incluent l’absence de réponse et l’incapacité d’accéder à l’interface utilisateur Web ou au panneau de gestion SSH de l’appareil.
Les interruptions fréquentes du réseau et la connectivité VPN instable doivent également être traitées comme des drapeaux rouges et faire l’objet d’une enquête.
L’action recommandée consiste à appliquer les mises à jour de sécurité disponibles, qui sont « ZLD V5.36 Patch 2 » pour ATP – ZLD, USG FLEX et VPN-ZLD, et « ZLD V4.73 Patch 2 » pour ZyWALL.
Cependant, si la mise à jour est impossible maintenant, il est conseillé aux administrateurs système de mettre en œuvre certaines mesures d’atténuation.
La première mesure de défense efficace consiste à désactiver les services HTTP/HTTPS du WAN (Wide Area Network). Cela devrait rendre les terminaux vulnérables inaccessibles aux attaquants distants.
Si les administrateurs ont besoin de gérer des appareils sur le WAN, ils doivent activer le « Contrôle des politiques » et ajouter des règles autorisant uniquement les adresses IP de confiance à accéder aux appareils.

L’activation du filtrage GeoIP est également recommandée pour limiter l’accès aux utilisateurs/systèmes en fonction des emplacements de confiance.
Enfin, Zyxel recommande de désactiver les ports UDP 500 et 4500 si le VPN IPSec n’est pas nécessaire, fermant ainsi une autre voie aux attaques.
Il est important de se rappeler que des attaques contre les produits répertoriés sont actuellement en cours et qu’elles ne devraient qu’augmenter en volume et en gravité. Il est donc impératif de prendre des mesures pour protéger vos appareils dès que possible.