Zyxel Firewall ถูกแฮ็กโดย Mirai Botnet

282/66 (IT) ประจำวันอังคารที่ 30 พฤษภาคม 2566

Mirai botnet ได้ใช้ประโยชน์จากช่องโหว่ที่หมายเลข CVE-2023-28771 เพื่อแฮ็ก Firewall จำนวนมากของ Zyxel โดย ZyXEL เป็นบริษัทผลิตภัณฑ์ด้านเน็ตเวิร์คและบรอดแบรนด์ เป็นแบรนด์ของ ZyXEL Communications Corp. ประเทศไต้หวัน มีผลิตภัณฑ์ต่าง ๆ เช่น Wireless LAN, Ethernet Switch/Adapter(Unmanaged & Managed Switch), VDSL Switch และระบบการรักษาความปลอดภัยของระบบ ซึ่งบริษัทได้แจ้งเตือนให้ลูกค้าทราบเกี่ยวกับช่องโหว่ด้านความปลอดภัยเมื่อวันที่ 25 เมษายน พร้อมออกแพตช์สำหรับไฟร์วอลล์ ATP, VPN, USG Flex และ ZyWALL/USG ที่ได้รับผลกระทบ

ช่องโหว่ดังกล่าวสามารถแทรกคำสั่ง OS ได้ ซึ่งเกิดจากการจัดการข้อความแสดงข้อผิดพลาดในไฟร์วอลล์บางตัวอาจทำให้ผู้โจมตีที่ไม่ได้รับการตรวจสอบความถูกต้องสามารถเรียกใช้คำสั่ง OS จากระยะไกลโดยการส่งแพ็กเก็ตที่สร้างขึ้นเป็นพิเศษไปยังอุปกรณ์เป้าหมายซึ่งช่องโหว่ถูกพบโดย Trapa Security    

นักวิจัย Kevin Beaumont ได้รายงานเมื่อวันพฤหัสบดีที่ผ่านมา ช่องโหว่หมายเลข CVE-2023-28771 ได้ถูก’ใช้ประโยชน์จำนวนมากจาก Mirai botnet รุ่นต่างๆ โดยมีอุปกรณ์ SMB จำนวนมากได้รับผลกระทบ ไม่ใช่เรื่องแปลกที่แฮ็กเกอร์จพุ่งเป้าหมายไปที่อุปกรณ์ Zyxel โดยใช้ประโยชน์จากช่องโหว่ที่เพิ่ง patch โดยที่ Zyxel ได้ประกาศแก้ไขช่องโหว่ร้ายแรงอีก 2 รายการที่ส่งผลกระทบต่อ Firewall ที่หมายเลข CVE-2023-33009 และ CVE-2023-33010 ที่เป็น buffer overflow ที่สามารถอนุญาตให้ผู้โจมตีที่ไม่ได้รับการตรวจสอบสิทธิ์ทำให้เกิดเงื่อนไข DoS หรือ execute arbitrary code บนอุปกรณ์ที่ได้รับผลกระทบ

แหล่งข่าว  ( https://www.securityweek.com/zyxel-firewalls-hacked-by-mirai-botnet-via-recently-patched-vulnerability/ )