Hackers estão explorando uma vulnerabilidade crítica de command injection nos dispositivos Zyxel CPE Series, atualmente identificada como CVE-2024-40891, que permanece sem correção desde julho passado.
A vulnerabilidade permite que atacantes não autenticados executem comandos arbitrários usando as contas de serviço 'supervisor' ou 'zyuser'.
A empresa de inteligência de vulnerabilidades VulnCheck adicionou o problema de segurança ao seu banco de dados no último ano, em 12 de julho, e listou-o entre outros problemas explorados na prática para acesso inicial.
Detalhes técnicos sobre a vulnerabilidade não foram divulgados publicamente, e a Zyxel não emitiu um aviso de segurança ou um patch para o CVE-2024-40891, e o problema permanece explorável no firmware mais recente.
Parece que hackers descobriram como tirar proveito da vulnerabilidade e estão usando-a em ataques, como a plataforma de monitoramento de ameaças GreyNoise observou recentemente atividade de exploração originando de múltiplos endereços IP únicos.
A GreyNoise observa que a falha é similar ao CVE-2024-40890, que é baseada em HTTP.
No entanto, a VulnCheck confirmou que a detecção de exploração atual é para o CVE-2024-40891 não corrigido, que é baseado no protocolo telnet.
"A GreyNoise está observando tentativas de exploração ativa visando uma vulnerabilidade crítica de command injection em dispositivos Zyxel CPE Series rastreados como CVE-2024-40891," diz o boletim.
O serviço de varredura de internet Censys relata que há mais de 1.500 dispositivos Zyxel CPE Series atualmente expostos online, principalmente nas Filipinas, Turquia, Reino Unido, França e Itália.
Considerando que não há atualização de segurança disponível para resolver o problema, administradores de sistema devem ao menos tentar bloquear os endereços IP que estão lançando as tentativas de exploração.
No entanto, ataques de outros endereços IP ainda são possíveis.
Para mitigação adicional, recomenda-se monitorar o tráfego para solicitações telnet atípicas para as interfaces de gerenciamento Zyxel CPE e restringir o acesso à interface administrativa apenas a uma lista permitida de IPs específicos.
Se os recursos de gerenciamento remoto não são utilizados/necessários, é melhor desabilitá-los completamente para reduzir a superfície de ataque.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...