Pesquisadores de cibersegurança estão alertando que uma vulnerabilidade crítica zero-day que afeta os dispositivos da série Zyxel CPE está sendo ativamente explorada.
"Atacantes podem explorar esta vulnerabilidade para executar comandos arbitrários nos dispositivos afetados, levando a uma total comprometimento do sistema, exfiltração de dados ou infiltração na rede", disse o pesquisador da GreyNoise, Glenn Thorpe, em um alerta publicado na terça-feira(28).
A vulnerabilidade em questão é a CVE-2024-40891, uma crítica vulnerabilidade de injeção de comando que não foi divulgada publicamente nem corrigida.
A existência do bug foi relatada pela primeira vez pela VulnCheck em julho de 2024.
Estatísticas reunidas pela firma de inteligência de ameaças mostram que tentativas de ataque originaram-se de dezenas de endereços IP, com a maioria deles localizada em Taiwan.
De acordo com a Censys, existem mais de 1.500 dispositivos vulneráveis online.
"A CVE-2024-40891 é muito similar à CVE-2024-40890, com a principal diferença sendo que a primeira é baseada em Telnet enquanto a última é baseada em HTTP", adicionou a GreyNoise.
Ambas as vulnerabilidades permitem que atacantes não autenticados executem comandos arbitrários usando contas de serviço.
A VulnCheck informou que está trabalhando em seu processo de divulgação com a empresa taiwanesa.
Entramos em contato com a Zyxel para mais comentários e atualizaremos a história se tivermos retorno.
Enquanto isso, aconselha-se que os usuários filtrem o tráfego para solicitações HTTP incomuns para as interfaces de gerenciamento do Zyxel CPE e restrinjam o acesso à interface administrativa a IPs confiáveis.
O desenvolvimento vem enquanto a Arctic Wolf relatou que observou uma campanha iniciando em 22 de janeiro de 2025, que envolveu o acesso não autorizado a dispositivos rodando o software de desktop remoto SimpleHelp como um vetor de acesso inicial.
Atualmente, não se sabe se os ataques estão ligados à exploração de falhas de segurança recentemente divulgadas no produto (CVE-2024-57726, CVE-2024-57727, e CVE-2024-57728) que poderiam permitir que um ator mal-intencionado escalasse privilégios para usuários administrativos e fizesse upload de arquivos arbitrários.
"Os primeiros sinais de comprometimento foram comunicações do processo do cliente para uma instância não aprovada do servidor SimpleHelp", disse o pesquisador de segurança Andres Ramos.
A atividade da ameaça também envolveu a enumeração de contas e informações de domínio por meio de um processo cmd.exe iniciado através de uma sessão SimpleHelp, usando ferramentas como net e nltest.
Não foi observado que os atores da ameaça agissem em objetivos porque a sessão foi terminada antes que o ataque progredisse mais.
Organizações são fortemente aconselhadas a atualizar suas instâncias do SimpleHelp para as versões fixadas mais recentes disponíveis para se protegerem contra ameaças potenciais.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...