Сетевые устройства Zyxel, которые не были обновлены после обнаружения критической уязвимости в апреле, стали главной целью хакеров, которые используют их для создания ботнетов и проведения DDoS-атак.
Уязвимость, получившая идентификатор CVE-2023-28771 , позволяет злоумышленникам выполнить произвольный код на устройствах Zyxel с помощью специально сформированного пакета IKEv2. Она затрагивает межсетевые экраны и ” data-html=”true” data-original-title=”VPN” >VPN-серверы Zyxel с настройками по умолчанию. 25 апреля Zyxel выпустил патч для этой уязвимости, но многие организации до сих пор не обновили свои устройства.
В конце мая организация Shadowserver, которая отслеживает интернет-угрозы в режиме реального времени, предупредила , что множество устройств Zyxel были скомпрометированы в атаках, которые до сих пор не прекращаются. Shadowserver рекомендовала считать все уязвимые устройства заражёнными.
А на прошлой неделе компания Fortinet опубликовала собственное исследование , в котором сообщила о резком росте активности атак, проводимых разными хакерскими группами в последние недели. Большинство атак основаны на вариантах Mirai – программе для поиска и эксплуатации общих уязвимостей в роутерах и других устройствах интернета вещей. После успешной эксплуатации Mirai объединяет устройства в ботнеты, которые могут проводить масштабные DDoS-атаки.
Между тем, PoC-
Эксплойты обычно классифицируются и называются по: типу уязвимости, которую они используют; являются ли они локальными или удаленными; а также результатом запуска эксплойта (например, EoP, DoS, спуфинг). Одной из схем, предлагающих эксплойты нулевого дня, является Exploit-as-a-Service.