Una variante attiva del botnet Mirai sta sfruttando i dispositivi Zyxel per lanciare attacchi di Denial of Service Distribuito (DDoS). L’Agenzia per la Sicurezza delle Infrastrutture e della Cybersecurity degli Stati Uniti (CISA) ha aggiunto questa recentemente corretta falla critica di sicurezza nel suo catalogo di Vulnerabilità Conosciute Sfruttate (KEV), citando prove di sfruttamento attivo.
Falla Critica nei Dispositivi Zyxel
Identificata come CVE-2023-28771 (punteggio CVSS: 9.8), la falla è legata a un difetto di iniezione di comandi che impatta vari modelli di firewall. Questa vulnerabilità potrebbe permettere a un aggressore non autenticato di eseguire codice arbitrario inviando un pacchetto appositamente creato al dispositivo. Zyxel ha risolto il difetto di sicurezza come parte degli aggiornamenti rilasciati il 25 aprile 2023.
Espansione del Botnet Mirai
La fondazione Shadowserver, in un recente tweet, ha affermato che la falla è “attivamente sfruttata per costruire un botnet simile a Mirai” dal 26 maggio 2023. Anche la società di cybersecurity Rapid7 ha avvertito di un abuso “diffuso” nel wild del CVE-2023-28771. Alla luce di questi sviluppi, è fondamentale che gli utenti si muovano rapidamente per applicare le patch per mitigare i potenziali rischi.
Gli Attacchi di una Variante Attiva di Mirai
Il botnet Mirai, da quando il suo codice sorgente è stato trapelato nell’ottobre 2016, ha generato numerosi cloni. Unit 42 di Palo Alto Networks ha recentemente dettagliato una nuova ondata di attacchi montati da una variante attiva di Mirai chiamata IZ1H9. Queste intrusioni sfruttano diverse falle di esecuzione di codice remoto in dispositivi IoT esposti su Internet, inclusi Zyxel, per reclutarli in una rete per orchestrare attacchi DDoS.
La Preoccupazione Crescente per la Sicurezza dei Dispositivi IoT
“I dispositivi IoT sono sempre stati un obiettivo allettante per gli attori minacciosi e gli attacchi di esecuzione di codice remoto continuano a essere le minacce più comuni e preoccupanti che interessano i dispositivi IoT e i server linux”, ha affermato Unit 42. Le vulnerabilità sfruttate da questa minaccia sono meno complesse, ma ciò non ne diminuisce l’impatto, dato che potrebbero ancora portare all’esecuzione di codice remoto.