Malware Gafgyt explora uma falha de cinco anos em um roteador Zyxel EoL
11 de Agosto de 2023

Fortinet emitiu um alerta avisando que o malware do botnet Gafgyt está ativamente tentando explorar uma vulnerabilidade no roteador Zyxel P660HN-T1A, descontinuado, em milhares de ataques diários.

O malware tem como alvo o CVE-2017-18368 , uma vulnerabilidade de injeção de comando não autenticada de severidade crítica (CVSS v3: 9.8) na função de encaminhamento do Registro do Sistema Remoto do dispositivo, que foi corrigida pela Zyxel em 2017.

Zyxel anteriormente destacou a ameaça da então nova variante Gafgyt em 2019, instando os usuários que ainda usam uma versão de firmware desatualizada a fazer o upgrade para a versão mais recente para proteger seus dispositivos de uma dominação.

No entanto, a Fortinet continua vendo uma média de 7.100 ataques por dia desde o início de julho de 2023, com o volume de ataques continuando até hoje.

"Até o dia 7 de agosto de 2023, os laboratórios FortiGuard continuam a ver tentativas de ataque visando a vulnerabilidade de 2017 e bloquearam tentativas de ataque de mais de milhares de dispositivos IPS únicos durante o último mês", lê-se num novo alerta de surto da Fortinet divulgado hoje.

Não está claro que parte das tentativas de ataque observadas resultou em infecções bem-sucedidas.

No entanto, a atividade se manteve em um volume constante desde julho.

Nesta semana, a CISA também alertou sobre a exploração ativa do CVE-2017-18368 , adicionando a falha ao seu catálogo de vulnerabilidades exploradas conhecidas.

A agência de segurança cibernética agora exige que as agências federais corrigam a vulnerabilidade Zyxel até 28 de agosto de 2023.

Em resposta ao surto de exploração, Zyxel atualizou seu aviso de segurança, lembrando aos clientes que o CVE-2017-18363 só impacta dispositivos que executam as versões de firmware 7.3.15.0 v001/3.40(ULM.0)b31 ou mais antigas.

Os roteadores P660HN-T1A que executam a última versão de firmware disponível em 2017 para corrigir a falha, versão 3.40(BYF.11), não são impactados por esses ataques.

No entanto, o fornecedor destaca que o dispositivo atingiu a fase de "fim de vida" e não é mais suportado, então, trocar por um modelo mais novo seria sensato.

"Por favor, note que o P660HN-T1A chegou ao fim de sua vida útil há vários anos; portanto, recomendamos fortemente que os usuários o substituam por um produto de nova geração para proteção ideal", adverte a Zyxel.

Sinais comuns de infecções por botnet em roteadores incluem instabilidade de conexão, superaquecimento do dispositivo, mudanças de configuração repentinas, falta de resposta, tráfego de rede atípico, abertura de novas portas e reboots inesperados.

Se você suspeitar de um comprometimento do malware do botnet, faça um reset de fábrica, atualize o firmware do seu dispositivo para a versão mais recente e altere as credenciais do usuário admin padrão.

Também foi aconselhado que você desative o painel de administração remoto e gerencie os dispositivos apenas de sua rede interna.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...