DDoS botnet preuzima Zyxel uređaje
Sigurnosni istraživači su primijetili da DDoS botnet preuzima Zyxel uređaje koristeći kritičnu ranjivost otkrivenu u ovim uređajima u aprilu 2023. godine, koja omogućava daljinsku kontrolu nad ranjivim uređajima.
Ranjivost Zyxel uređaja
Sigurnosni istraživači iz komapnije FortiGuard Labs su otkrili u junu 2023. godine širenje nekoliko DDoS botnet mreža koji iskorišćavaju ranjivost u Zyxel uređajima označenu kao CVE-2023-28771 (sa CVSS ocjenom: 9.8). Ovu ranjivost karakteriše mogućnost ubrizgavanja komande, a pogađa više modela ovog proizvođača, koja potencijalnom napadaču može dozvoliti da izvrši proizvoljni kôd slanjem posebno kreiranog paketa na ciljani uređaj. Mrežnim nadzorom je identifikovana adresa napadača i utvrđeno je da se napadi dešavaju u više regiona, uključujući Centralnu Ameriku, Sjevernu Ameriku, Istočnu Aziju i Južnu Aziju.
Proizvođač uređaja, kompanija Zyxel je objavila sigurnosno ažuriranje za ovu ranjivost još 25. aprila 2023. godine, da bi pet nedjelja kasnije Shadowserver – organizacija koja prati Internet prijetnje u realnom vremenu – upozorila da su mnogi Zyxel uređaji kompromitovani u napadima koji ne pokazuju znake zaustavljanja.
U ovoj fazi, ako imate izložen ranjivi uređaj, očekujte kompromitovanje.
– Shadowserver –
Iskorištavanje ranjivosti
Sada u junu, kada je kompanija FortiGuard Labs objavila svoj izvještaj – oko 12 sedmica nakon dostupnog ažuriranja za ovu ranjivost – u kome se govori o porastu aktivnosti eksploatacije koju sprovodi više zlonamjernih aktera posljednjih nedjelja. Kao što je bio slučaj sa aktivnim kompromisima koje je Shadowserver prijavio, napadi su uglavnom dolazili iz varijanti zasnovanih na Mirai aplikaciji otvorenog koda koju hakeri koriste da identifikuju i iskoriste uobičajene propuste u ruterima i drugim uređajima Interneta stvari.
Ovo se odnosi na varijante Mirai botneta kao što je Dark.IoT i još jedan botnet koji je autor nazvao Katana, a koji dolazi sa mogućnostima za pokretanje DDoS napada pomoću TCP i UDP protokola. Čini se da ova kampanja koristila više servera za pokretanje napada i da se ažurirala u roku od nekoliko dana kako bi maksimalno iskoristila kompromitovanje Zyxel uređaja.
Ova prijetnja dolazi u trenutku kada kompanija Cloudflare izvještava o “alarmantnoj eskalaciji sofisticiranih DDoS napada” u drugom tromjesečju 2023. godine, pri čemu su zlonamjerni akteri osmislili nove načine da izbjegnu otkrivanje “vješto imitirajući ponašanje pretraživača” i održavajući svoje stope napada u sekundi relativno niskim.
Složenost napada se vidi kroz upotrebu tehnike pranja DNS saobraćaja (eng. DNS laundering) koja prikriva zlonamjerni saobraćaj kao legitiman saobraćaj tako što ga kanališe kroz renomirane ponavljajuće DNS servere, čime se izbjegava otkrivanje i izazivaju dalje komplikacije uz korištenje botnet-a virtualnih mašina za pokretanje megavolumenskih DDoS napada.
Zaključak
S obzirom na mogućnost eksploatacije koja se izvršava direktno na osvetljivim bezbjednosnim uređajima, moglo bi se pretpostaviti da bi pogođene organizacije do sada izvršile sigurnosna ažuriranja uređaja. Nažalost, konstantni uspješni pokušaji eksploatacije pokazuju da veliki broj njih još uvijek nije primijenio ažuriranja.
Ciljanje ranjivih uređaja je oduvijek bio primarni cilj zlonamjernih aktera, a rasprostranjenost napada na daljinsko izvršavanje kôda predstavlja veliku zabrinutost za IoT uređaje i Linux servere. Prisustvo izloženih ranjivosti uređaja može dovesti do značajnih rizika, jer kada napadač dobije kontrolu nad ranjivim uređajem, može ga ugraditi u svoj botnet i omogućavajući mu da izvrši dodatne napade, kao što je DDoS. Kako bi korisnici efikasno riješili ovu prijetnju, ključno je dati prioritet primjeni zakrpa i ažuriranja kad god je to moguće. Preporučuje se i preduzimanje proaktivnih mjera kako bi se osigurala bezbjednost ovih uređaja.