De gevolgen van een kwetsbaarheid in firewalls van Zyxel blijven lang aanslepen. Fortinet waarschuwt voor een recente piek in DDoS-aanvallen.
Kwetsbaarheid CVE-2023-28771 is inmiddels welgekend in de securitywereld. Het Taiwanese bedrijf Zyxel rolde eind april een patch uit om het lek te dichten, maar helaas volgen organisaties nog steeds niet het devies om beveiligingsupdates onmiddellijk door te voeren. Begin juni trokken experten al aan de alarmbel, maar twaalf weken na het uitrollen van de patch komt Fortinet tot de conclusie dat er nog maar weinig beterschap is.
Fortinet merkt sinds eind mei een toename in DDoS-aanvallen die volgens onderzoekster Cara Lin kunnen worden toegeschreven aan CVE-2023-28771. Een piek tussen 18 en 25 juni toont aan hoe actief de kwetsbaarheid nog wordt uitgebuit. Dat komt omdat code die doorvaar nodig is publiek beschikbaar is. Zo kunnen hackers die programmeren in hun botnets en op maat gemaakte DDoS-aanvallen uitvoeren.
Een gat in de muur
Meer bepaald maken ze daarbij gebruik van de opdrachtinjectiemogelijkheden die de kwetsbaarheid biedt. Ze ontwerpen Internet Key Exchange-pakketten die ze naar de firewall versturen om die over te nemen. Eens succesvol uitgevoerd, wordt de firewall zelf mee onderdeel van het kwaadaardige botnet.
lees ook
Eddy Willems: ‘Patch nu eens sneller, downtime kost minder dan ransomware’
We herhalen bij deze dus nog maar eens om als je organisaties firewalls of VPN-servers van Zyxel in gebruik heeft, deze zo snel mogelijk bij te werken. Geloof je ons niet, geloof dan de score van 9.8 die de kwetsbaarheid heeft gekregen. In deze blog geeft de fabrikant advies over welke firmwareversies kwetsbaar zijn en naar welke versie je je apparaten moet updaten.
Zyxel komt vaker dan hen lief is in het nieuws met kwetsbaarheden in hun beveiligingsapparaten. Ook in 2022 en in 2021 deden alarmerende berichten de ronde.