Pesquisadores de cibersegurança estão alertando que uma vulnerabilidade crítica zero-day que afeta os dispositivos da série Zyxel CPE está sendo ativamente explorada.
"Atacantes podem explorar esta vulnerabilidade para executar comandos arbitrários nos dispositivos afetados, levando a uma total comprometimento do sistema, exfiltração de dados ou infiltração na rede", disse o pesquisador da GreyNoise, Glenn Thorpe, em um alerta publicado na terça-feira(28).
A vulnerabilidade em questão é a CVE-2024-40891, uma crítica vulnerabilidade de injeção de comando que não foi divulgada publicamente nem corrigida.
A existência do bug foi relatada pela primeira vez pela VulnCheck em julho de 2024.
Estatísticas reunidas pela firma de inteligência de ameaças mostram que tentativas de ataque originaram-se de dezenas de endereços IP, com a maioria deles localizada em Taiwan.
De acordo com a Censys, existem mais de 1.500 dispositivos vulneráveis online.
"A CVE-2024-40891 é muito similar à CVE-2024-40890, com a principal diferença sendo que a primeira é baseada em Telnet enquanto a última é baseada em HTTP", adicionou a GreyNoise.
Ambas as vulnerabilidades permitem que atacantes não autenticados executem comandos arbitrários usando contas de serviço.
A VulnCheck informou que está trabalhando em seu processo de divulgação com a empresa taiwanesa.
Entramos em contato com a Zyxel para mais comentários e atualizaremos a história se tivermos retorno.
Enquanto isso, aconselha-se que os usuários filtrem o tráfego para solicitações HTTP incomuns para as interfaces de gerenciamento do Zyxel CPE e restrinjam o acesso à interface administrativa a IPs confiáveis.
O desenvolvimento vem enquanto a Arctic Wolf relatou que observou uma campanha iniciando em 22 de janeiro de 2025, que envolveu o acesso não autorizado a dispositivos rodando o software de desktop remoto SimpleHelp como um vetor de acesso inicial.
Atualmente, não se sabe se os ataques estão ligados à exploração de falhas de segurança recentemente divulgadas no produto (CVE-2024-57726, CVE-2024-57727, e CVE-2024-57728) que poderiam permitir que um ator mal-intencionado escalasse privilégios para usuários administrativos e fizesse upload de arquivos arbitrários.
"Os primeiros sinais de comprometimento foram comunicações do processo do cliente para uma instância não aprovada do servidor SimpleHelp", disse o pesquisador de segurança Andres Ramos.
A atividade da ameaça também envolveu a enumeração de contas e informações de domínio por meio de um processo cmd.exe iniciado através de uma sessão SimpleHelp, usando ferramentas como net e nltest.
Não foi observado que os atores da ameaça agissem em objetivos porque a sessão foi terminada antes que o ataque progredisse mais.
Organizações são fortemente aconselhadas a atualizar suas instâncias do SimpleHelp para as versões fixadas mais recentes disponíveis para se protegerem contra ameaças potenciais.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...