合勤防火墙受到严重CVE攻击-2023-28771

已检测到一波针对 Zyxel 防火墙中关键漏洞的突然且有组织的漏洞利用尝试。攻击围绕 CVE-2023-28771 展开，这是一个严重性远程代码执行漏洞 （CVSS 9.8），通过 UDP 端口 500 影响合勤互联网密钥交换 （IKE） 数据包解码器。

“6 月 16 日，GreyNoise 观察到在短时间内集中爆发了漏洞利用尝试，观察到 244 个唯一 IP 试图利用，”该公司报告说。

CVE-2023-28771 允许远程攻击者通过向易受攻击的 Zyxel 设备发送特制的 IKE 数据包，在未经身份验证的情况下注入系统命令。如果成功，攻击者将获得对目标防火墙的完全控制权，从而有效地将其转变为进一步攻击或僵尸网络招募的落脚点。

受影响的 Zyxel 产品线包括：

• ATP（高级威胁防护）– ZLD V4.60 至 V5.35
• USG 弹性 – ZLD V4.60 至 V5.35
• VPN 系列 – ZLD V4.60 至 V5.35
• ZyWALL/USG – ZLD V4.60 至 V4.73

Zyxel 于 2023 年 4 月 25 日发布了补丁，但未打补丁的设备仍然容易受到攻击。

GreyNoise 的威胁情报指出：“在 6 月 16 日之前的两周内，没有观察到这些 IP 参与任何其他扫描或漏洞利用行为——仅针对 CVE-2023-28771。

这表明一种经过深思熟虑且适时且适时的攻击策略，可能是自动化和同步的。

特别是：

• 涉及的所有 244 个 IP 都注册到 Verizon Business 基础设施，并地理定位到美国。
• 但是，由于使用了 UDP 端口 500，因此可能存在 IP 欺骗，这让人对明显的来源产生了怀疑。

GreyNoise 确定了与 Mirai 僵尸网络变体一致的模式，VirusTotal 对有效载荷的分析也证实了这一点。这与以前的情况一致，即僵尸网络通过未修补的 IoT 和网络设备捕食边缘设备。

“GreyNoise 的更深入分析确定了与 Mirai 僵尸网络变体一致的指标，”该报告证实。

漏洞利用流量不限于单个区域。主要目标国家/地区包括：

• 美国
• 英国
• 西班牙
• 德国
• 印度

这些地区是许多中小型企业和政府机构的所在地，通常依靠 Zyxel 进行边界安全。

GreyNoise 强烈建议采取以下防御措施：

• 立即更新：确保所有受影响的 Zyxel 设备都使用最新固件进行修补。
• 阻止 244 个 IP：虽然可能存在欺骗，但 GreyNoise 已将这些 IP 标记为恶意 IP，并建议主动阻止。
• 限制 UDP 端口 500 暴露：尽可能过滤不必要的入站流量。
• 监控异常情况：检查漏洞利用后指标，例如异常进程行为、流量模式或僵尸网络注册情况。