[ad_1]
Los investigadores de ciberseguridad advierten que una vulnerabilidad crítica de día cero que afecta los dispositivos de la serie CPE Zyxel está viendo intentos de explotación activos en la naturaleza.
«Los atacantes pueden aprovechar esta vulnerabilidad para ejecutar comandos arbitrarios en dispositivos afectados, lo que lleva a un compromiso completo del sistema, exfiltración de datos o infiltración de red», el investigador de grises Glenn Thorpe dicho en una alerta publicada el martes.
La vulnerabilidad en cuestión es CVE-2024-40891, una vulnerabilidad de inyección de comando crítica que no ha sido revelada ni reparada públicamente. La existencia del error fue Primero reportado por Vulncheck en julio de 2024.
Estadísticas reunidas por la firma de inteligencia de amenazas mostrar que Los intentos de ataque se han originado de docenas de direcciones IPcon la mayoría de ellos ubicados en Taiwán. Según Censys, hay más de 1.500 dispositivos vulnerables en línea.
«CVE-2024-40891 es muy similar a CVE-2024-40890, con la principal diferencia de que el primero se basa en Telnet, mientras que el segundo está basado en HTTP», agregó Greynoise. «Ambas vulnerabilidades permiten a los atacantes no autenticados ejecutar comandos arbitrarios utilizando cuentas de servicio».
Vulncheck le dijo a The Hacker News que está trabajando a través de su proceso de divulgación con la compañía taiwanesa. Nos hemos comunicado con Zyxel para obtener más comentarios, y actualizaremos la historia si recibimos noticias.
Mientras tanto, se aconseja a los usuarios que filtren el tráfico para solicitudes HTTP inusuales a las interfaces de administración de CPE de Zyxel y restrinjan el acceso a la interfaz administrativa a IP de confianza.
El desarrollo se produce cuando Arctic Wolf informó que observó una campaña a partir del 22 de enero de 2025, que implicó obtener acceso no autorizado a dispositivos que ejecutan un software de escritorio remoto SimpleHelp como un vector de acceso inicial.
Actualmente no se sabe si los ataques están vinculados a la explotación de fallas de seguridad recientemente reveladas En el producto (CVE-2024-57726, CVE-2024-57727 y CVE-2024-57728) que podría permitir que un actor malo intensifique privilegios a los usuarios administrativos y cargue archivos arbitrarios.
«Los primeros signos de compromiso fueron las comunicaciones desde el proceso del cliente hasta una instancia de servidor SimpleHelp no aprobada», el investigador de seguridad Andrés Ramos dicho. «La actividad de amenazas también implicó la enumeración de las cuentas y la información del dominio a través de un proceso CMD.EXE iniciado a través de una sesión de SimpleHelp, utilizando herramientas como Net y NLTest. Las amenazas no se observaron actuando sobre los objetivos porque la sesión se terminó antes del progreso del ataque. más.»
Se recomienda encarecidamente a las organizaciones que actualicen sus instancias de SimpleHelp a las últimas versiones fijas disponibles para asegurar las posibles amenazas.
[ad_2]
Enlace fuente
