Fortinet emitiu um alerta avisando que o malware do botnet Gafgyt está ativamente tentando explorar uma vulnerabilidade no roteador Zyxel P660HN-T1A, descontinuado, em milhares de ataques diários.
O malware tem como alvo o
CVE-2017-18368
, uma vulnerabilidade de injeção de comando não autenticada de severidade crítica (CVSS v3: 9.8) na função de encaminhamento do Registro do Sistema Remoto do dispositivo, que foi corrigida pela Zyxel em 2017.
Zyxel anteriormente destacou a ameaça da então nova variante Gafgyt em 2019, instando os usuários que ainda usam uma versão de firmware desatualizada a fazer o upgrade para a versão mais recente para proteger seus dispositivos de uma dominação.
No entanto, a Fortinet continua vendo uma média de 7.100 ataques por dia desde o início de julho de 2023, com o volume de ataques continuando até hoje.
"Até o dia 7 de agosto de 2023, os laboratórios FortiGuard continuam a ver tentativas de ataque visando a vulnerabilidade de 2017 e bloquearam tentativas de ataque de mais de milhares de dispositivos IPS únicos durante o último mês", lê-se num novo alerta de surto da Fortinet divulgado hoje.
Não está claro que parte das tentativas de ataque observadas resultou em infecções bem-sucedidas.
No entanto, a atividade se manteve em um volume constante desde julho.
Nesta semana, a CISA também alertou sobre a exploração ativa do
CVE-2017-18368
, adicionando a falha ao seu catálogo de vulnerabilidades exploradas conhecidas.
A agência de segurança cibernética agora exige que as agências federais corrigam a vulnerabilidade Zyxel até 28 de agosto de 2023.
Em resposta ao surto de exploração, Zyxel atualizou seu aviso de segurança, lembrando aos clientes que o CVE-2017-18363 só impacta dispositivos que executam as versões de firmware 7.3.15.0 v001/3.40(ULM.0)b31 ou mais antigas.
Os roteadores P660HN-T1A que executam a última versão de firmware disponível em 2017 para corrigir a falha, versão 3.40(BYF.11), não são impactados por esses ataques.
No entanto, o fornecedor destaca que o dispositivo atingiu a fase de "fim de vida" e não é mais suportado, então, trocar por um modelo mais novo seria sensato.
"Por favor, note que o P660HN-T1A chegou ao fim de sua vida útil há vários anos; portanto, recomendamos fortemente que os usuários o substituam por um produto de nova geração para proteção ideal", adverte a Zyxel.
Sinais comuns de infecções por botnet em roteadores incluem instabilidade de conexão, superaquecimento do dispositivo, mudanças de configuração repentinas, falta de resposta, tráfego de rede atípico, abertura de novas portas e reboots inesperados.
Se você suspeitar de um comprometimento do malware do botnet, faça um reset de fábrica, atualize o firmware do seu dispositivo para a versão mais recente e altere as credenciais do usuário admin padrão.
Também foi aconselhado que você desative o painel de administração remoto e gerencie os dispositivos apenas de sua rede interna.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...