Diverse botnet di attacchi distribuiti di negazione del servizio (DDoS) stanno sfruttando una grave vulnerabilità nei dispositivi Zyxel, emersa nell’aprile 2023, per prendere il controllo remoto dei sistemi vulnerabili. Gli attacchi sono stati rilevati in diverse regioni, tra cui America Centrale, Nord America, Asia Orientale e Asia Meridionale.
Dettagli sulla vulnerabilità
La vulnerabilità, tracciata come CVE-2023-28771 con un punteggio CVSS di 9.8, è un bug di iniezione di comando che colpisce diversi modelli di firewall. Questo potrebbe potenzialmente permettere a un attore non autorizzato di eseguire codice arbitrario inviando un pacchetto specificamente creato all’appliance bersaglio. La Fondazione Shadowserver ha avvertito che la vulnerabilità è stata “attivamente sfruttata per costruire una botnet simile a Mirai” almeno dal 26 maggio 2023, segnalando come l’abuso di server che eseguono software non aggiornato sia in aumento.
Utilizzo della vulnerabilità da parte delle botnet
Le ultime scoperte di Fortinet suggeriscono che la vulnerabilità viene sfruttata opportunisticamente da diversi attori per violare gli host suscettibili e incorporarli in una botnet in grado di lanciare attacchi DDoS contro altri obiettivi. Questo include varianti della botnet Mirai come Dark.IoT e un’altra botnet chiamata Katana dal suo autore, che ha capacità di montare attacchi DDoS utilizzando i protocolli TCP e UDP.
Aumento della sofisticazione degli attacchi DDoS
Cloudflare ha segnalato un'”allarmante escalation nella sofisticazione degli attacchi DDoS” nel secondo trimestre del 2023, con gli attori delle minacce che ideano nuovi modi per evitare il rilevamento “imitando abilmente il comportamento del browser” e mantenendo relativamente bassi i loro tassi di attacco al secondo. Aggiungendo alla complessità è l’uso di attacchi di riciclaggio DNS per nascondere il traffico malevolo tramite risolutori DNS ricorsivi di buona reputazione e botnet di macchine virtuali per orchestrare attacchi DDoS iper-volumetrici.
L’emergere di gruppi di hacktivist pro-russi come KillNet, REvil e Anonymous Sudan (aka Storm-1359) che si concentrano principalmente su obiettivi negli Stati Uniti e in Europa è un altro fattore notevole che contribuisce all’aumento degli offensivi DDoS. Con l’espansione continua del programma pilota CBDC in diversi settori, la Cina sta facendo un passo significativo verso l’innovazione finanziaria.