En abril de 2023, se descubrió una falla crítica en los dispositivos Zyxel, y desde mayo se han detectado diversas redes de bots de denegación de servicio distribuido (DDoS) que explotan esta vulnerabilidad en diferentes regiones de América y Asia.
Los hallazgos más recientes indican que múltiples actores de amenaza están aprovechando esta vulnerabilidad, lo que ha llevado a una escalada en la sofisticación de los ataques DDoS, lo que representa una amenaza cada vez más preocupante.
Tipo de ataque
Esta preocupante falla de seguridad, que afecta a varios modelos de Firewalls de la reconocida marca Zyxel, está estrechamente relacionada con la inyección de comandos, lo que podría permitir que un atacante no autenticado tenga la capacidad de ejecutar código arbitrario en los dispositivos afectados. La magnitud de esta amenaza ha llevado a que la Cybersecurity and Infrastructure Security Agency (CISA) haya incluido esta vulnerabilidad en su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), lo que indica que ya se están reportando casos de explotación activa en el ciberespacio.
Uno de los aspectos más inquietantes de esta situación es que se sospecha que la falla ha estado siendo activamente explotada para construir una botnet similar a Mirai. Para aquellos que no están familiarizados, Mirai es un tipo de malware que se ha utilizado en el pasado para realizar ataques de denegación de servicio distribuido (DDoS) a gran escala. La posibilidad de que se esté gestando una botnet de esta naturaleza a través de la explotación de la vulnerabilidad en los Firewalls de Zyxel es una señal de alerta para la comunidad de ciberseguridad.
Lo que hace aún más preocupante a este ataque es su nivel de complejidad. Los investigadores han observado que este ataque posee características intrincadas y sofisticadas que lo vuelven sumamente invasivo y difícil de detectar. Los ciberdelincuentes detrás de esta campaña están mostrando un alto grado de conocimiento y habilidad técnica, lo que plantea un desafío adicional para aquellos que buscan proteger sus sistemas y redes.
Alcances
Se sospecha que esta vulnerabilidad está siendo aprovechada por múltiples actores para comprometer hosts susceptibles y reclutarlos en una botnet capaz de lanzar ataques DDoS contra otros objetivos. Esta botnet cuenta con la capacidad de montar ataques DDoS utilizando tanto protocolos TCP como UDP. Es preocupante ver cómo esta vulnerabilidad se está utilizando para formar una red de bots maliciosos que puede llevar a cabo ataques cibernéticos de gran envergadura y causar estragos en diversas plataformas y servicios en línea. La sofisticación de esta botnet y su habilidad para explotar protocolos diversos hacen que su detección y mitigación sean aún más desafiantes para la comunidad de ciberseguridad.
Dispositivos afectados
| Dispositivo | Versiones |
| ATP |
|
| USG FLEX |
|
| VPN |
|
| ZyWALL/USG |
|
Indicadores de Compromiso
| Tipo | Indicador |
| SHA256 | d618c817e6a93193a499126156a1f7e888008dacdb247a769fd69ce4c0c87b67 |
| SHA256 | a6729c047d776294fa21956157eec0b50efa7447b8e2834b05be31080767006f |
| SHA256 | 729f2fa4d037912a360cb7c4e2c37765da0c38725451600f0258109b672f615e |
| SHA256 | 2c55674e938e7618f7c9273e3da61ce7aeab3dc5626b7b8b4e3fc7cc95d0436f |
| SHA256 | 928d8ccd71edda5891068d703603ba0b70687f746c9da73afa6692b274ea757c |
Prevención y mitigación
Para prevenir las devastadoras consecuencias de este tipo de ataques, es de vital importancia que las organizaciones gestionen la aplicación de parches de forma rápida. Mantener al equipo al tanto de las actualizaciones de seguridad disponibles debe ser una labor prioritaria dentro de una compañía que busca disminuir al máximo sus riesgos y garantizar la continuidad operacional. La pronta aplicación de parches es una medida crucial para cerrar las posibles brechas de seguridad y evitar que los ciberdelincuentes se aprovechen de las vulnerabilidades conocidas.
Asimismo, es esencial mantener una actitud proactiva frente a las actualizaciones y parches que emitan los fabricantes y proveedores de soluciones de seguridad, ya que esto permitirá fortalecer las defensas y proteger de manera más efectiva los activos y datos críticos de la organización. Con una estrategia sólida de gestión de parches, las organizaciones estarán mejor preparadas para hacer frente a las amenazas cibernéticas y salvaguardar su continuidad operacional.
Además, se recomienda implementar medidas adicionales de protección, como la segmentación de redes y el monitoreo constante de tráfico sospechoso. La comunidad de ciberseguridad en su conjunto debe estar alerta ante la amenaza en evolución que representa esta falla de seguridad en los Firewalls de Zyxel. La colaboración y el intercambio de información entre expertos y organizaciones son fundamentales para hacer frente a este tipo de ataques sofisticados y asegurar la integridad y seguridad de nuestros sistemas y datos en el mundo digital en constante cambio.
¿Qué pueden hacer nuestros Servicios Administrados por tu empresa?
Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a ataques:
- Protección proactiva: Nuestro equipo de Detección y Respuesta identifica y bloquea cualquier actividad maliciosa antes de que pueda causar daños.
- Respuesta rápida: Servicios Administrados genera una respuesta rápida y efectiva frente a ataques. Nuestros procesos de respuesta funcionan de forma inmediata para identificar y minimizar el impacto de la amenaza.
Fuentes
https://thehackernews.com/2023/07/ddos-botnets-hijacking-zyxel-devices-to.html