Mirai恶意软件在命令注入漏洞后攻击Zyxel设备

Zyxel于2023年4月25日向其客户通报了该安全漏洞，并宣布了受影响防火墙的补丁程序，其中包括USG Flex、ATP、ZyWALL/USG和VPN。Mirai僵尸网络的一个变体在利用新修补的操作系统命令注入漏洞(CVE-2023-28771)后成功入侵了各种Zyxel防火墙。该漏洞已经影响到许多Zyxel网络设备，现在Mirai僵尸网络正在控制它，问题可能会变得更糟，因为它可能导致发起DDoS攻击。

根据分析下载样本的Palo Alto Networks的Unit 42研究人员称，黑客Zyxel防火墙的Mirai僵尸网络样本称为IZ1H9，于2018年8月被发现。研究人员称其为所有Mirai变体中最活跃的。

僵尸网络客户端首先检查受感染设备IP地址的网络部分，并避免执行特定IP块列表。这包括政府网络、科技公司和互联网提供商。

该恶意软件会在控制台上打印“Darknet”字样，让人感觉到它的存在。它还可以确保设备只运行一个恶意软件实例。如果在设备上发现僵尸网络进程，Mirai僵尸网络客户端将终止其当前进程，并从其属于Mirai僵尸网络和其他家族的其他变体的进程列表中启动一个新进程。

即使用户配置了VPN或处于默认状态，任何运行易受攻击固件的产品都可能被利用。Mirai运营商现在拥有各种Zyxel SMB VPN Box。

Trapa Security发现了影响Zyxel设备的漏洞。它的发生是由于某些防火墙中不适当的消息处理功能可能允许未经授权的行为者通过将专门设计的数据包传输到设备来远程执行操作系统命令。互联网密钥交换——IKE是易受攻击的组件，Rapid7的一份报告解释道。

Zyxel于2023年4月25日向其客户通报了该安全漏洞，并宣布了受影响防火墙的补丁程序，其中包括USG Flex、ATP、ZyWALL/USG和VPN。

CVE-2023-28771已于2023年4月修补。但是，许多用户尚未应用此修复程序，导致易受攻击的设备遭到大规模利用。研究员Kevin Beaumont于周四通报了Mirai僵尸网络变体对该漏洞的大规模利用，影响了数个SMB设备。

安全专家已敦促Zyxel网络服务用户立即修补该漏洞。几天前，Rapid7曾警告过该漏洞可能会在野外被利用。他们并没有声称Zyxel设备的42000个暴露在互联网上的Web界面实例已经浮出水面。但Rapid7研究人员认为，受损设备的数量可能要高得多。以Zyxel防火墙为目标的Mirai恶意软件以可链接格式(.elf)的形式作为Unix和Linux可执行文件分发。

Zyxel是一家台湾网络设备制造商。该公司最近修复了另外两个影响其防火墙的缺陷——CVE-2023-33009和CVE-2023-33010。这两个缓冲区溢出漏洞都可以让对手发起DoS攻击或在设备上执行任意代码。

原文始发于微信公众号（郑州网络安全）：Mirai恶意软件在命令注入漏洞后攻击Zyxel设备