Iscriviti al webinar gratuito del 12 Maggio per diventare Forensic Analyst! Scopri di più
Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
Zyxel sotto attacco: Vulnerabilità critica CVE-2024-40891 minaccia la sicurezza globale
I dispositivi Zyxel della serie CPE sono attualmente sotto attacco a causa di una vulnerabilità zero-day critica, identificata come CVE-2024-40891. Questa vulnerabilità di iniezione di comandi non è stata né divulgata pubblicamente né corretta, permettendo agli attaccanti di eseguire comandi arbitrari sui dispositivi colpiti.
Secondo il ricercatore Glenn Thorpe di GreyNoise, questa falla può portare a una compromissione completa del sistema, esfiltrazione di dati o infiltrazioni di rete. La vulnerabilità è stata inizialmente segnalata da VulnCheck a luglio 2024.
Statistiche e Origine degli Attacchi
Le statistiche di GreyNoise mostrano che gli attacchi provengono da decine di indirizzi IP, principalmente situati a Taiwan, con oltre 1.500 dispositivi vulnerabili rilevati online. CVE-2024-40891 è simile a CVE-2024-40890, ma si basa su Telnet anziché su HTTP. Entrambe le vulnerabilità consentono a malintenzionati non autenticati di eseguire comandi arbitrari utilizzando account di servizio.
Collaborazione e Misure di Sicurezza
VulnCheck sta collaborando con Zyxel nel processo di divulgazione della vulnerabilità. Nel frattempo, gli utenti sono invitati a filtrare il traffico per richieste HTTP insolite verso le interfacce di gestione dei dispositivi Zyxel CPE e a limitare l'accesso alle interfacce amministrative a IP fidati.
Altre Minacce e Raccomandazioni
Parallelamente, Arctic Wolf ha riportato una campagna iniziata il 22 gennaio 2025, che sfrutta l'accesso non autorizzato a dispositivi con software di desktop remoto SimpleHelp come vettore di accesso iniziale. Non è ancora chiaro se questi attacchi siano collegati allo sfruttamento di vulnerabilità recentemente scoperte nel prodotto SimpleHelp, che potrebbero consentire a un attore malintenzionato di elevare i privilegi e caricare file arbitrari.
Le organizzazioni sono fortemente consigliate di aggiornare le loro istanze di SimpleHelp alle versioni più recenti disponibili per proteggersi da potenziali minacce.
Botnet Mirai e Sfruttamento della Vulnerabilità
Inoltre, è stato osservato che alcune varianti del botnet Mirai hanno già integrato la capacità di sfruttare la vulnerabilità CVE-2024-40891, evidenziando una sovrapposizione significativa tra gli IP che sfruttano questa vulnerabilità e quelli classificati come Mirai.