Η Zyxel εξέδωσε μια νέα προειδοποίηση για τους φορείς απειλών που εκμεταλλεύονται μια ευπάθεια command injection στο firewall της που πρόσφατα διορθώθηκε, αφού οι εταιρείες ασφαλείας παρατήρησαν μια ομάδα ransomware που στοχεύει το ελάττωμα για αρχική παραβίαση.
Δείτε επίσης: Η Microlise επιβεβαιώνει παραβίαση δεδομένων λόγω ransomware
Το σφάλμα, που παρακολουθείται ως CVE-2024-42057, θα μπορούσε να επιτρέψει σε απομακρυσμένους εισβολείς να εκτελούν εντολές λειτουργικού συστήματος σε ευάλωτες συσκευές, χωρίς έλεγχο ταυτότητας.
Η Zyxel ανακοίνωσε ενημερώσεις κώδικα για αυτό το ελάττωμα και έξι άλλα ελαττώματα ασφαλείας στις 3 Σεπτεμβρίου, εξηγώντας ότι επηρεάζονται μόνο οι συσκευές που έχουν ρυθμιστεί σε λειτουργία ελέγχου ταυτότητας User-Based-PSK και στις οποίες υπάρχει έγκυρος χρήστης με μεγάλο όνομα χρήστη που υπερβαίνει τους 28 χαρακτήρες.
Καταιγίδες μεγαλύτερες από τη Γη εντοπίστηκαν στον Δία
Black Basta ransomware: Όλες οι νέες τακτικές
Αποκαλύψεις για τον Μεγαλύτερο Κρατήρα του Φεγγαριού
Η Zyxel αντιμετώπισε αυτά τα τρωτά σημεία με την κυκλοφορία της έκδοσης υλικολογισμικού 5.39 για συσκευές της σειράς ATP, USG FLEX και USG FLEX 50(W)/USG20(W)-VPN.
Ένα μήνα αργότερα, η Zyxel EMEA προειδοποίησε ότι οι κακόβουλοι παράγοντες στόχευαν ευπάθεια σε firewall που εκτελούσε επαναλήψεις υλικολογισμικού 4.32 έως 5.38 για να δημιουργήσουν ψεύτικους λογαριασμούς χρηστών και να αποκτήσουν πρόσβαση σε δίκτυα μέσω σηράγγων SSL VPN.
Δείτε ακόμα: Η Blue Yonder υπέστη ransomware επίθεση
Την περασμένη εβδομάδα, η εταιρεία κυβερνοασφάλειας Sekoia προειδοποίησε για επιθέσεις που εξαπέλυσε η ομάδα ransomware Helldown, η οποία μετράει 31 θύματα μεταξύ Αυγούστου και Οκτωβρίου, συμπεριλαμβανομένης της ευρωπαϊκής θυγατρικής της Zyxel.
Τουλάχιστον οκτώ θύματα του Helldown, είπε η Sekoia, χρησιμοποιούσαν Zyxel firewall ως σημεία πρόσβασης VPN IPSec όταν παραβιάστηκαν λόγω της ευπάθειας. Οι εισβολείς πιθανότατα στόχευσαν το CVE-2024-42057 για να παραβιάσουν τις συσκευές Zyxel που εκτελούν την έκδοση υλικολογισμικού 5.38.
Η εταιρεία κυβερνοασφάλειας παρατήρησε ότι οι εισβολείς δημιουργούν έναν δόλιο λογαριασμό με το όνομα OKSDW82A σε μια ευάλωτη συσκευή, ο οποίος είχε προηγουμένως παρατηρηθεί σε ένα περιστατικό Helldown που αναλύθηκε από την Truesec.
Λίγο μετά την αναφορά, η Zyxel εξέδωσε μια συμβουλευτική επιβεβαίωση ότι οι συσκευές που δεν είχαν αναβαθμιστεί στην έκδοση υλικολογισμικού 5.39 στοχεύονταν σε κακόβουλες επιθέσεις.
Δείτε επίσης: Επίθεση σε εταιρεία τηλεματικής από τη “SafePay” Ransomware
Οι επιθέσεις ransomware αποτελούν μία από τις πιο σοβαρές απειλές για την ασφάλεια στον κυβερνοχώρο σήμερα. Κατά τη διάρκεια αυτών των επιθέσεων, κακόβουλο λογισμικό κρυπτογραφεί σημαντικά αρχεία και δεδομένα ενός συστήματος, απαιτώντας λύτρα από τον ιδιοκτήτη για την αποκατάσταση της πρόσβασης. Συχνά συνοδεύονται από απειλές να διαγραφούν ή να δημοσιευθούν τα δεδομένα αν δεν καταβληθoύν τα απαιτούμενα ποσά. Οι επιτυχείς επιθέσεις μπορούν να έχουν καταστροφικές συνέπειες για επιχειρήσεις, οργανισμούς και χρήστες, τονίζοντας την ανάγκη για αυξημένα μέτρα κυβερνοασφάλειας και τακτική εφεδρική αποθήκευση δεδομένων.
Πηγή: securityweek