A Zyxel publicou um aviso de segurança contendo orientações sobre como proteger dispositivos de firewall e VPN de ataques em curso e detectar sinais de exploração.
Este alerta vem em resposta a múltiplos relatórios de exploração generalizada do
CVE-2023-28771
e da exploração e gravidade do
CVE-2023-33009
e
CVE-2023-33010
, que afetam todos os dispositivos Zyxel VPN e firewall.
"A Zyxel tem pedido aos usuários que instalem os patches por vários canais, incluindo o envio de vários boletins de segurança a usuários registrados e assinantes de avisos; notificando os usuários para atualizar via notificação push da Web GUI para dispositivos no local; e aplicando atualizações de firmware programadas para dispositivos baseados em nuvem que ainda não o fizeram", alerta o aviso de segurança da Zyxel.
Botnets de malware estão explorando atualmente o
CVE-2023-28771
para realizar execução remota de comando não autenticado por meio de pacotes maliciosos especialmente criados e infectar dispositivos.
As outras duas falhas,
CVE-2023-33009
e
CVE-2023-33010
, são bugs de estouro de buffer que podem permitir a atacantes não autenticados impor um estado de negação de serviço em dispositivos vulneráveis ou executar código remoto.
A tabela a seguir resume os produtos Zyxel afetados, as versões de firmware vulneráveis e as atualizações de segurança alvo para cada um.
A Zyxel diz que indicadores fortes de um dispositivo invadido incluem falta de resposta e a incapacidade de alcançar a interface de usuário web do dispositivo ou o painel de gerenciamento SSH.
As interrupções frequentes na rede e a conectividade VPN instável também devem ser tratadas como sinais de alerta e investigadas.
A ação recomendada é aplicar as atualizações de segurança disponíveis, que são "ZLD V5.36 Patch 2" para ATP - ZLD, USG FLEX e VPN-ZLD, e "ZLD V4.73 Patch 2" para ZyWALL.
No entanto, se a atualização não for possível agora, os administradores do sistema são aconselhados a implementar certas medidas de mitigação.
A primeira medida de defesa eficaz é desativar os serviços HTTP/HTTPS da WAN (Wide Area Network).
Isso deve tornar os pontos finais vulneráveis inacessíveis por atacantes remotos.
Se os administradores precisarem gerenciar dispositivos por WAN, devem habilitar o "Controle de Política" e adicionar regras que permitam apenas endereços IP confiáveis a acessar os dispositivos.
Também é recomendado habilitar o filtro GeoIP para limitar o acesso a usuários/sistemas com base em locais confiáveis.
Por fim, a Zyxel recomenda desativar as portas UDP 500 e 4500 se o IPSec VPN não for necessário, fechando outra via para ataques.
É importante lembrar que os ataques contra os produtos listados estão em andamento e espera-se que aumentem em volume e gravidade, portanto, tomar medidas para proteger seus dispositivos o mais rápido possível é imperativo.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...