Hackers ใช้ประโยชน์จากช่องโหว่ระดับ Critical ที่ยังไม่ได้รับการแก้ไขในอุปกรณ์ Zyxel CPE

แฮ็กเกอร์กำลังใช้ประโยชน์จากช่องโหว่ Command Injection ระดับ Critical ในอุปกรณ์ Zyxel CPE Series ซึ่งมีหมายเลข CVE-2024-40891 และยังไม่ได้รับการแก้ไขตั้งแต่เดือนกรกฎาคมที่ผ่านมา

ช่องโหว่นี้สามารถทำให้ผู้โจมตีที่ไม่ได้ผ่านการยืนยันตัวตนสามารถสั่งรันคำสั่งใด ๆ บนอุปกรณ์ได้ผ่านบัญชี ‘supervisor’ หรือ ‘zyuser’

โดยบริษัท VulnCheck ได้เพิ่มช่องโหว่ด้านความปลอดภัยนี้ลงในฐานข้อมูลเมื่อวันที่ 12 กรกฎาคมปีที่แล้ว และจัดให้เป็นหนึ่งในช่องโหว่ที่กำลังถูกใช้ในการโจมตีจริง เพื่อใช้เป็นช่องทางในการเข้าถึงระบบของเหยื่อในเบื้องต้น

รายละเอียดทางเทคนิคเกี่ยวกับช่องโหว่นี้ ยังไม่ได้รับการเปิดเผยออกสู่สาธารณะ และ Zyxel ยังไม่ได้ออกแจ้งเตือนด้านความปลอดภัย หรืออัปเดตแพตช์ช่องโหว่ CVE-2024-40891 ซึ่งหมายความว่าช่องโหว่นี้ยังคงสามารถถูกใช้ในการโจมตีได้ในเฟิร์มแวร์เวอร์ชันล่าสุด

ดูเหมือนว่าผู้โจมตีได้ค้นพบวิธีใช้ประโยชน์จากช่องโหว่นี้แล้ว และกำลังนำไปใช้ในการโจมตี โดยแพลตฟอร์มเฝ้าระวังภัยคุกคาม GreyNoise ได้ตรวจพบการโจมตีจากช่องโหว่นี้ โดยมีการโจมตีมาจาก หลายแหล่ง IP ที่แตกต่างกัน

GreyNoise ระบุว่า ช่องโหว่นี้มีลักษณะคล้ายกับ CVE-2024-40890 ซึ่งเป็นช่องโหว่ที่อาศัย HTTP-base อย่างไรก็ตาม VulnCheck ยืนยันว่าการโจมตีที่ถูกตรวจพบในขณะนี้เกี่ยวข้องกับช่องโหว่ CVE-2024-40891 ซึ่งยังไม่ได้รับการแก้ไข และใช้โปรโตคอล Telnet เป็นช่องทางการโจมตี

ในรายงานระบุว่า: "GreyNoise ตรวจพบความพยายามในการโจมตีช่องโหว่ Command Injection ระดับ Critical ที่ยังไม่มีแพตช์อัปเดตบนอุปกรณ์ Zyxel CPE Series ซึ่งมีหมายเลข CVE-2024-40891"

"ปัจจุบัน ช่องโหว่นี้ยังไม่ได้รับการแก้ไข และยังไม่มีการเปิดเผยรายละเอียดออกสู่สาธารณะ ผู้โจมตีสามารถใช้ช่องโหว่นี้เพื่อรันคำสั่งใด ๆ บนอุปกรณ์ที่ได้รับผลกระทบ ซึ่งอาจนำไปสู่การเข้าควบคุมระบบโดยสมบูรณ์, การขโมยข้อมูล หรือการแทรกซึมเครือข่าย"

บริการสแกนบนอินเทอร์เน็ต Censys รายงานว่า มีอุปกรณ์ Zyxel CPE Series มากกว่า 1,500 เครื่องที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ต โดยส่วนใหญ่อยู่ใน ฟิลิปปินส์, ตุรกี, สหราชอาณาจักร, ฝรั่งเศส และอิตาลี

เมื่อพิจารณาว่า ยังไม่มีการอัปเดตด้านความปลอดภัยเพื่อแก้ไขปัญหานี้ ผู้ดูแลระบบควรบล็อก IP Address ที่ถูกใช้ในการโจมตี อย่างไรก็ตามการโจมตีจาก IP Address อื่น ๆ ก็ยังคงมีความเสี่ยงอยู่

เพื่อลดผลกระทบเพิ่มเติม แนะนำให้ตรวจสอบปริมาณการรับส่งข้อมูลสำหรับ Telnet requests ที่ผิดปกติไปยัง management interfaces CPE ของ Zyxel และควรจำกัดการเข้าถึงให้เข้าถึงได้เฉพาะ IP ที่กำหนดไว้เท่านั้น

หากไม่ได้ใช้ หรือไม่จำเป็นต้องใช้ Remote Management ควรปิดการใช้งานทั้งหมดเพื่อลดความเสี่ยงจากการถูกโจมตี

ที่มา : bleepingcomputer