Serangan DdoS, Varian Botnet Mirai Aktif Eksploitasi Zyxel

Nemo Ikram
 Kamis, 01 Juni 2023 - 21:10 WIB   1752

The Hacker News

Cyberthreat.id - Badan Keamanan Siber dan Infrastruktur A.S. (The U.S. Cybersecurity and Infrastructure Security Agency - CISA) telah menambahkan kelemahan keamanan kritis yang baru-baru ini ditambal pada perlengkapan Zyxel ke katalog Kerentanan yang Dieksploitasi (KEV), mengutip bukti eksploitasi aktif.

Dilacak sebagai CVE-2023-28771 (skor CVSS: 9,8), tulis The Hacker News, masalah ini terkait dengan cacat injeksi perintah yang memengaruhi model firewall berbeda yang dapat memungkinkan penyerang yang tidak diautentikasi untuk mengeksekusi kode arbitrer dengan mengirimkan paket yang dibuat khusus ke perangkat.

Zyxel mengatasi cacat keamanan sebagai bagian dari pembaruan yang dirilis pada 25 April 2023. Daftar perangkat yang terpengaruh ada di bawah –

  • ATP (versi ZLD V4.60 hingga V5.35, ditambal di ZLD V5.36)
  • USG FLEX (versi ZLD V4.60 hingga V5.35, ditambal di ZLD V5.36)
  • VPN (versi ZLD V4.60 hingga V5.35, ditambal di ZLD V5.36), dan
  • ZyWALL/USG (versi ZLD V4.60 hingga V4.73, ditambal di ZLD V4.73 Patch 1)

The Shadowserver Foundation, dalam tweet baru-baru ini, mengatakan kelemahan itu "sedang dieksploitasi secara aktif untuk membangun botnet mirip Mirai" sejak 26 Mei 2023. Perusahaan keamanan siber Rapid7 juga telah memperingatkan tentang penyalahgunaan CVE-yang "meluas luas". 2023-28771.

Sehubungan dengan perkembangan ini, sangat penting bagi pengguna untuk bergerak cepat menerapkan tambalan untuk mengurangi potensi risiko. Badan federal di AS diberi mandat untuk mengupdate perangkat mereka sebelum 21 Juni 2023.

Pengungkapan itu juga muncul saat Palo Alto Networks Unit 42 merinci gelombang serangan baru yang dipasang oleh varian botnet Mirai aktif yang dijuluki IZ1H9 sejak awal April 2023.

Intrusi telah ditemukan untuk memanfaatkan beberapa kelemahan eksekusi kode jarak jauh di perangkat IoT yang terpapar internet, termasuk Zyxel, untuk menjeratnya ke dalam jaringan untuk mengatur serangan denial-of-service (DDoS) terdistribusi.

Perlu dicatat bahwa Mirai telah menelurkan sejumlah klon sejak kode sumbernya bocor pada Oktober 2016.

“Perangkat IoT selalu menjadi target yang menggiurkan bagi pelaku ancaman, dan serangan eksekusi kode jarak jauh terus menjadi ancaman paling umum dan paling memprihatinkan yang memengaruhi perangkat IoT dan server linux,” kata Unit 42.

"Kerentanan yang digunakan oleh ancaman ini tidak terlalu rumit, tetapi ini tidak mengurangi dampaknya, karena masih dapat menyebabkan eksekusi kode jarak jauh."[]

Tags