Deutsch 
English
Français
Español
Italiano
Português
日本語
한국어
Русский
Zyxel-Firewalls werden von Mirai angegriffen
CVE-2023-28771, die kritische Schwachstelle durch Befehlsinjektion, die viele Zyxel-Firewalls betrifft, wird aktiv von einem Mirai-ähnlichen Botnetz ausgenutzt und wurde dem CISA-Katalog „Known Exploited Vulnerabilities“ (KEV) hinzugefügt.
CVE-2023-28771 ist eine Schwachstelle, die es nicht authentifizierten Angreifern ermöglicht, Betriebssystembefehle aus der Ferne auszuführen, indem sie manipulierte IKE-Pakete (Internet Key Exchange) an ein betroffenes Gerät senden.
Nachdem das Problem im April 2023 von Zyxel behoben wurde, ging man davon aus, dass es schnell von Angreifern ausgenutzt werden würde, sobald technische Berichte und PoCs veröffentlicht würden – und so geschah es.
„Während Internet Key Exchange (IKE) das Protokoll ist, das zum Initiieren dieses Exploits verwendet wird, handelt es sich nicht um eine Schwachstelle in IKE selbst, sondern es scheint ein Ergebnis dieser betrügerischen Debugging-Funktion zu sein, die es nicht in einen Produktions-Build von geschafft haben sollte Aber da IKE das einzige bekannte Protokoll ist, über das der Weg zu dieser Schwachstelle ausgelöst werden kann, ist es viel wahrscheinlicher, dass nur die Zyxel-Geräte, auf denen IKE läuft, tatsächlich für diesen Angriff anfällig sind“, erklärten Censys-Forscher.
„Diese Sicherheitslücke ist auf eine problematische Protokollierungsfunktion zurückzuführen. Anstatt einen sicheren Dateiverarbeitungsmechanismus zu verwenden, indem ein Datei-Handle geöffnet und Daten in dieses Handle geschrieben werden, wählte Zyxel einen anderen Ansatz: Sie erstellten einen „Echo“-Befehl, indem sie benutzergesteuerte Eingaben einbezogen Daten. Dieser Echo-Befehl wird anschließend über einen system()-Aufruf ausgeführt, wobei die Ausgabe in eine Datei in /tmp geschrieben wird. Diese Implementierung führt einen Betriebssystem-Befehlsinjektionsvektor ein, da der Befehlserstellungsprozess durch vom Benutzer steuerbare Eingaben beeinflusst werden kann, und zwar dort ist keine Datenbereinigung.“
Die Ausnutzungsversuche begannen um den 25. Mai herum und werden von verschiedenen Cybersicherheitsunternehmen und -organisationen verfolgt.
Censys hat weltweit 21.210 potenziell anfällige Geräte identifiziert, überwiegend jedoch in Europa (d. h. Italien, Frankreich und der Schweiz).
„Diese Geräte werden in allen Arten von privaten und geschäftlichen Netzwerken eingesetzt, sowohl in großen als auch in kleinen. Die meisten Netzwerke, in denen diese Geräte zu finden sind, werden also Telekommunikations- und andere Arten von Dienstanbietern sein“, stellten sie fest.
Anfällige Geräte, die bisher nicht gepatcht wurden, sollten als kompromittiert gelten und werden bereits für Angriffe (z. B. DDoS-Angriffe) genutzt.
Benutzer, die nicht wissen, wie sie die Kompromittierung beheben können, sollten ihren Dienstanbieter um Hilfe bitten. Wer das nötige Update rechtzeitig implementiert hat, dem sei ein erneutes Update empfohlen: Zyxel hat am 24. Mai neue Patches veröffentlicht, um zwei Pufferüberlauffehler (CVE-2023-33009, CVE-2023-33010) in denselben Firewalls zu beheben.