Los investigadores de ciberseguridad advierten que una vulnerabilidad crítica de día cero que afecta los dispositivos de la serie CPE Zyxel está viendo intentos de explotación activos en la naturaleza.
«Los atacantes pueden aprovechar esta vulnerabilidad para ejecutar comandos arbitrarios en dispositivos afectados, lo que lleva a un compromiso completo del sistema, exfiltración de datos o infiltración de red», dijo el investigador de Greynoise Glenn Thorpe en una alerta publicada el martes.
La vulnerabilidad en cuestión es CVE-2024-40891, una vulnerabilidad de inyección de comando crítica que no ha sido revelada ni reparada públicamente. La existencia del error fue informada por primera vez por Vulncheck en julio de 2024.
Las estadísticas reunidas por la firma de inteligencia de amenazas muestran que los intentos de ataque se han originado a partir de docenas de direcciones IP, con la mayoría de ellos ubicados en Taiwán. Según Censys, hay más de 1.500 dispositivos vulnerables en línea.
«CVE-2024-40891 es muy similar a CVE-2024-40890, con la principal diferencia de que el primero se basa en Telnet, mientras que el segundo está basado en HTTP», agregó Greynoise. «Ambas vulnerabilidades permiten a los atacantes no autenticados ejecutar comandos arbitrarios utilizando cuentas de servicio».
Vulncheck le dijo a The Hacker News que está trabajando a través de su proceso de divulgación con la compañía taiwanesa. Nos hemos comunicado con Zyxel para obtener más comentarios, y actualizaremos la historia si recibimos noticias.
Mientras tanto, se aconseja a los usuarios que filtren el tráfico para solicitudes HTTP inusuales a las interfaces de administración de CPE de Zyxel y restrinjan el acceso a la interfaz administrativa a IP de confianza.
El desarrollo se produce cuando Arctic Wolf informó que observó una campaña a partir del 22 de enero de 2025, que implicó obtener acceso no autorizado a dispositivos que ejecutan un software de escritorio remoto SimpleHelp como un vector de acceso inicial.
Actualmente no se sabe si los ataques están vinculados a la explotación de fallas de seguridad recientemente reveladas en el producto (CVE-2024-57726, CVE-2024-57727 y CVE-2024-57728) que podría permitir que un mal actor aumente los privilegios de los privilegios de aumento de los privilegios. usuarios administrativos y cargar archivos arbitrarios.
«Los primeros signos de compromiso fueron las comunicaciones desde el proceso del cliente hasta una instancia de servidor SimpleHelp no aprobada», dijo el investigador de seguridad Andrés Ramos. «La actividad de amenazas también implicó la enumeración de las cuentas y la información del dominio a través de un proceso CMD.EXE iniciado a través de una sesión de SimpleHelp, utilizando herramientas como Net y NLTest. Las amenazas no se observaron actuando sobre los objetivos porque la sesión se terminó antes del progreso del ataque. más.»
Se recomienda encarecidamente a las organizaciones que actualicen sus instancias de SimpleHelp a las últimas versiones fijas disponibles para asegurar las posibles amenazas.
Actualizar
La compañía le dijo a la publicación que hay señales claras de que los actores de amenazas intentan explotar la vulnerabilidad en masa. También señaló que algunas variantes de Botnet de Mirai ya han agregado la capacidad de explotar CVE-2024-40891 después de identificar una «superposición significativa entre IP que explota CVE-2024-40891 y aquellos clasificados como Mirai».