Firewalls van fabrikant Zyxel worden op grote schaal gecompromitteerd door een Mirai-botnet, zo stelt beveiligingsonderzoeker Kevin Beaumont. De aanvallers maken misbruik van een kritieke kwetsbaarheid waarvoor Zyxel eind april beveiligingsupdates uitbracht. Destijds werden klanten door de fabrikant opgeroepen om de patch ook te installeren.
Via de kwetsbaarheid, aangeduid als CVE-2023-28771, kan een ongeauthenticeerde aanvaller door middel van speciaal geprepareerd netwerkverkeer OS-commando's op de firewall uit te voeren. Onlangs publiceerde securitybedrijf Rapid7 een proof-of-concept exploit op internet en waarschuwde dat er nog geen aanvallen waren waargenomen, maar dat dit waarschijnlijk slechts een kwestie van tijd was.
Rapid7 detecteerde 42.000 Zyxel-firewalls waarvan de webinterface vanaf het internet toegankelijk is en mogelijk risico lopen, hoewel er ook grotere aantallen zijn genoemd. Volgens Beaumont is een Mirai-botnet nu begonnen om kwetsbare firewalls aan te vallen en die onderdeel van het botnet te maken. Door Mirai besmette apparaten worden onder andere voor het uitvoeren van ddos-aanvallen gebruikt. Deze week waarschuwde Zyxel ook voor twee andere kritieke kwetsbaarheden waardoor firewalls zijn over te nemen.
Deze posting is gelocked. Reageren is niet meer mogelijk.