6月16日,GreyNoise研究人员监测到针对CVE-2023-28771(CVSS评分9.8)漏洞的利用尝试。该远程代码执行漏洞通过UDP 500端口影响Zyxel设备的IKE数据包解码模块。
GreyNoise发布的警报指出:"近几周针对CVE-2023-28771的利用尝试极少。但在6月16日短时间内出现集中爆发,观测到244个独立IP地址尝试利用。"主要攻击目标为美国、英国、西班牙、德国和印度。值得注意的是,这些攻击IP在6月16日前两周均无异常活动,所有尝试都精准针对该特定漏洞。
(推文内容翻译)
GreyNoise发现针对Zyxel设备RCE漏洞CVE-2023-28771的利用尝试。完整分析+恶意IP清单
🔗https://t.co/bA4kcQx2Dc #网络安全 #威胁情报 #漏洞分析 #GreyNoise
所有244个攻击IP均显示来自美国Verizon Business网络。但由于攻击采用UDP(500端口)协议,研究人员警告这些地址可能被伪造,未必反映真实来源。GreyNoise将攻击关联至Mirai僵尸网络变种,该结论后续获得VirusTotal证实。
GreyNoise提供的缓解措施包括:
• 封禁恶意IP:虽然存在伪造可能,但GreyNoise已将244个IP全部标记为恶意。防御者应立即封锁这些地址并监控相关活动
• 检查Zyxel设备暴露情况:确认所有联网的Zyxel设备已安装CVE-2023-28771补丁
• 监控利用后行为:漏洞利用可能导致设备被纳入僵尸网络或进一步入侵,需持续监控异常
• 限制非必要IKE/UDP 500端口暴露:实施网络过滤策略减少暴露面
2023年4月,Zyxel已针对防火墙设备中的高危漏洞CVE-2023-28771发布修复程序,当时就警告有威胁分子正试图利用该命令注入漏洞在受影响系统部署恶意软件。2025年5月底,美国CISA根据活跃攻击证据将该漏洞列入"已知被利用漏洞目录"。
原文始发于微信公众号(黑猫安全):攻击者利用Zyxel远程代码执行漏洞CVE-2023-28771发起攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论