Zyxel ออกประกาศด้านความปลอดภัยเกี่ยวกับช่องโหว่ที่ถูกโจมตีในอุปกรณ์ CPE Series โดยแจ้งเตือนว่าไม่มีแผนที่จะออกแพตช์แก้ไข และแนะนำให้ผู้ใช้ย้ายไปใช้อุปกรณ์ที่ยังได้รับการสนับสนุน

VulnCheck ค้นพบช่องโหว่ทั้งสองรายการในเดือนกรกฎาคม 2024 แต่เมื่อสัปดาห์ที่ผ่านมา GreyNoise รายงานว่าได้เริ่มพบการพยายามในการโจมตีจริงแล้ว

ตามข้อมูลจากเครื่องมือสแกนเครือข่าย FOFA และ Censys พบว่าอุปกรณ์ Zyxel CPE Series กว่า 1,500 เครื่องที่เปิดให้เข้าถึงผ่านอินเทอร์เน็ต ซึ่งทำให้อุปกรณ์ที่อาจถูกโจมตีมีจำนวนมากขึ้น

ในโพสต์ใหม่วันนี้ VulnCheck ได้นำเสนอรายละเอียดทั้งหมดของช่องโหว่ทั้งสองรายการที่พบในการโจมตีที่มุ่งเป้าไปที่การเข้าถึงเครือข่ายในเบื้องต้น

CVE-2024-40891 เป็นช่องโหว่ที่สามารถทำให้ผู้ใช้งานที่ผ่านการยืนยันตัวตนแทรกคำสั่ง Telnet ได้ เนื่องจากการตรวจสอบคำสั่งที่ไม่เหมาะสมใน libcms_cli.

แฮ็กเกอร์กำลังใช้ประโยชน์จากช่องโหว่ Command Injection ระดับ Critical ในอุปกรณ์ Zyxel CPE Series ซึ่งมีหมายเลข CVE-2024-40891 และยังไม่ได้รับการแก้ไขตั้งแต่เดือนกรกฎาคมที่ผ่านมา (more…)

Zyxel แจ้งเตือนการอัปเดต signature ความปลอดภัยที่ผิดพลาด ซึ่งจะทำให้เกิดข้อผิดพลาดร้ายแรงสำหรับไฟร์วอลล์ในรุ่น USG FLEX หรือ ATP Series รวมถึงการทำให้อุปกรณ์เข้าสู่การ boot loop (more…)

Zyxel ออกมาแจ้งเตือนเกี่ยวกับการพบกลุ่มแรนซัมแวร์ที่กำลังใช้ประโยชน์จากช่องโหว่ Command Injection ที่เพิ่งได้รับการแก้ไขในแพตช์ล่าสุดบน Firewall และมีหมายเลข CVE-2024-42057 ซึ่งช่องโหว่นี้ถูกใช้เป็นการโจมตีเพื่อเข้าสู่ระบบในเบื้องต้น (more…)

Zyxel ออกแพตซ์อัปเดตซอฟต์แวร์เพื่อแก้ไขช่องโหว่ด้านความปลอดภัยระดับ Critical ที่ส่งผลกระทบต่อ Access point (AP) และเราเตอร์บางรุ่น โดยช่องโหว่นี้อาจนำไปสู่การเรียกใช้คำสั่งที่ไม่ได้รับอนุญาตได้

ช่องโหว่นี้มีหมายเลข CVE-2024-7261 (คะแนน CVSS: 9.8) โดยเป็นช่องโหว่ OS command injection

(more…)

ทีมนักวิจัยจาก Unit 42 ของ Palo Alto Networks รายงานการพบแคมเปญการโจมตีโดยใช้ Mirai botnet ในการโจมตีต่อเนื่องกัน 2 แคมเปญ โดยพบการโจมตีตั้งแต่เดือนมีนาคมจนถึงเมษายน 2023 ซึ่งได้มุ่งเป้าหมายการโจมตีไปยังช่องโหว่กว่า 22 รายการ ในอุปกรณ์ D-Link, Arris, Zyxel, TP-Link, Tenda, Netgear และ MediaTek เพื่อควบคุมเครื่องเป้าหมาย และนำไปใช้ในการโจมตีแบบ Distributed Denial-of-Service (DDoS) ต่อไป (more…)

Zyxel ได้เผยแพร่คำแนะนำด้านความปลอดภัยที่มีคำแนะนำเกี่ยวกับการปกป้องไฟร์วอลล์ และอุปกรณ์ VPN จากการโจมตีอย่างต่อเนื่อง และการตรวจจับสัญญาณของการโจมตีจากช่องโหว่

คำเตือนดังกล่าวป็นการตอบสนองต่อการโจมตีโดยใช้ช่องโหว่ที่มีระดับความรุนแรงสูงหมายเลข CVE-2023-28771, CVE-2023-33009 และ CVE-2023-33010 อย่างกว้างขวาง ซึ่งทั้งหมดนี้ส่งผลกระทบต่ออุปกรณ์ VPN และไฟร์วอลล์ของ Zyxel

Zyxel พบว่ามี botnet ได้ใช้ประโยชน์จากช่องโหว่ CVE-2023-28771 เพื่อดำเนินการคำสั่งที่เป็นอันตรายจากระยะไกล (remote command execution) ผ่านแพ็กเก็ตที่เป็นอันตรายที่สร้างขึ้นเป็นพิเศษ รวมถึงช่องโหว่อีก 2 รายการ ได้แก่ CVE-2023-33009 และ CVE-2023-33010 ซึ่งเป็นช่องโหว่ buffer overflow ที่ทำให้ Hacker สามารถหลีกเลี่ยงการตรวจสอบสิทธิ์ และ denial of service (DoS) บนอุปกรณ์ที่มีช่องโหว่ หรือเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้

ตารางสรุปผลิตภัณฑ์ Zyxel ที่ได้รับผลกระทบ เวอร์ชันที่มีช่องโหว่ และเวอร์ชันอัปเดตความปลอดภัยสำหรับแต่ละรายการ

ลักษณะของปัญหา และการแก้ไข

Zyxel ระบุว่าลักษณะ หรือตัวบ่งชี้ที่ชัดเจนว่าอุปกรณ์ดังกล่าวได้ถูกโจมตีไปแล้ว นั่นคือการไม่ตอบสนอง และไม่สามารถเข้าถึงอินเทอร์เฟซผู้ใช้งานบนเว็บ หรือ SSH management panel ของอุปกรณ์ได้ รวมไปถึงความไม่เสถียรของการเชื่อมต่อ และการ VPN

คำแนะนำของ Zyxel คือการอัปเดตแพตซ์ด้านความปลอดภัย ได้แก่ 'ZLD V5.36 Patch 2' สำหรับ ATP – ZLD, USG FLEX และ VPN-ZLD และ 'ZLD V4.73 Patch 2' สำหรับ ZyWALL

ทั้งนี้หากผู้ดูแลระบบยังไม่สามารถทำการอัปเดตความปลอดภัยได้ทันที ทาง Zyxel แนะนำให้ดำเนินมาตรการเพื่อลดผลกระทบจากการโจมตี ดังนี้

ปิดใช้บริการ HTTP/HTTPS จาก WAN (Wide Area Network) เพื่อลดความเสี่ยงจากการเข้าถึงระบบที่มีช่องโหว่จากภายนอก
หากผู้ดูแลระบบจำเป็นต้องจัดการอุปกรณ์ผ่าน WAN ควรเปิดใช้งาน 'Policy Control' และเพิ่ม Rules ที่อนุญาตเฉพาะที่อยู่ IP ที่เชื่อถือได้เท่านั้นในการเข้าถึงอุปกรณ์
ทำการเปิดใช้การกรอง GeoIP เพื่อจำกัดการเข้าถึงของผู้ใช้งาน/ระบบจากสถานที่ที่เชื่อถือได้เท่านั้น
ปิด UDP Port 500 และ Port 4500 หากไม่ได้ใช้งาน IPSec VPN ซึ่งเป็นการปิดช่องทางสำหรับการโจมตี

 

ที่มา : bleepingcomputer

Zyxel แจ้งเตือนช่องโหว่ด้านความปลอดภัยระดับ Critical 2 รายการ ในผลิตภัณฑ์ไฟร์วอลล์ และ VPN ในหลายรุ่น ส่งผลให้ผู้โจมตีสามารถเข้าถึงเครือข่ายได้โดยไม่ต้องผ่านการตรวจสอบสิทธิ์ โดยช่องโหว่ที่เกิดขึ้นนั้นเป็นช่องโหว่ Buffer overflows ซึ่งอาจส่งผลให้เกิด denial of service (DoS) และการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) (more…)

ผู้เชี่ยวชาญด้านความปลอดภัยจาก Fortinet พบมัลแวร์ตัวใหม่ "Zerobot" มีการโจมตีโดยใช้ประโยชน์จากช่องโหว่บนอุปกรณ์ต่างๆ เช่น F5 BIG-IP, Zysel Firewall, Totolink, D-Link และ Hikvision

โดยจุดประสงค์ของมัลแวร์คือการเข้ายึดครองอุปกรณ์ที่ถูกโจมตี เพื่อนำมาใช้เป็น botnet สำหรับใช้ในการโจมตีแบบ Denial of Service (DDoS) โดยเมื่อมัลแวร์ทำงานจะมีการดาวน์โหลดสคริปต์ที่ชื่อว่า Zero เพื่อใช้ในการแพร่กระจายไปยังอุปกรณ์ที่อยู่ใกล้เคียงกัน และมีการรันคำสั่งบน Windows หรือ Linux ด้วย รวมถึงมีการติดตั้ง WebSocket เพื่อใช้เชื่อมต่อกับ command and control (C2) server โดยคำสั่งที่ผู้เชี่ยวชาญพบคือ Ping, attack, stop, update, scan, command และ kill นอกจากนี้มัลแวร์ยังถูกออกแบบมาเพื่อป้องกันการถูกสั่ง kill ตัวเองอีกด้วย

Zerobot จะโจมตีเป้าหมายโดยใช้ช่องโหว่ดังต่อไปนี้:

CVE-2014-08361: miniigd SOAP service in Realtek SDK
CVE-2017-17106: Zivif PR115-204-P-RS webcams
CVE-2017-17215: Huawei HG523 router
CVE-2018-12613: phpMyAdmin
CVE-2020-10987: Tenda AC15 AC1900 router
CVE-2020-25506: D-Link DNS-320 NAS
CVE-2021-35395: Realtek Jungle SDK
CVE-2021-36260: Hikvision product
CVE-2021-46422: Telesquare SDT-CW3B1 router
CVE-2022-01388: F5 BIG-IP
CVE-2022-22965: Spring MVC and Spring WebFlux (Spring4Shell)
CVE-2022-25075: TOTOLink A3000RU router
CVE-2022-26186: TOTOLink N600R router
CVE-2022-26210: TOTOLink A830R router
CVE-2022-30525: Zyxel USG Flex 100(W) firewall
CVE-2022-34538: MEGApix IP cameras
CVE-2022-37061: FLIX AX8 thermal sensor cameras

 

ที่มา : bleepingcomputer