Ciberseguridad 360 | Dispositivos CPE de Zyxel bajo explotación

Investigadores de ciberseguridad advierten de que una vulnerabilidad cr�tica zero-day que afecta a los dispositivos de la serie CPE de Zyxel est� siendo objeto de intentos de explotaci�n activos.

"Los atacantes pueden aprovechar esta vulnerabilidad para ejecutar comandos arbitrarios en los dispositivos afectados, lo que lleva a comprometer completamente el sistema, la exfiltraci�n de datos o la infiltraci�n en la red", dijo Glenn Thorpe, investigador de GreyNoise, en una alerta publicada el martes.

La vulnerabilidad en cuesti�n es CVE-2024-40891, una vulnerabilidad cr�tica de inyecci�n de comandos que no ha sido revelada p�blicamente ni parcheada. La existencia del fallo fue notificada por primera vez por VulnCheck en julio de 2024.

Las estad�sticas recopiladas por la empresa de inteligencia sobre amenazas muestran que los intentos de ataque se han originado en docenas de direcciones IP, la mayor�a de ellas situadas en Taiw�n. Seg�n Censys, hay m�s de 1.500 dispositivos vulnerables en l�nea.

"CVE-2024-40891 es muy similar a CVE-2024-40890, con la principal diferencia de que la primera est� basada en Telnet mientras que la segunda est� basada en HTTP", a�adi� GreyNoise. "Ambas vulnerabilidades permiten a atacantes no autenticados ejecutar comandos arbitrarios utilizando cuentas de servicio".

VulnCheck dijo a The Hacker News que est� trabajando en su proceso de divulgaci�n con la empresa taiwanesa. Nos hemos puesto en contacto con Zyxel para obtener m�s comentarios, y actualizaremos la historia si recibimos respuesta.

Mientras tanto, se aconseja a los usuarios que filtren el tr�fico de peticiones HTTP inusuales a las interfaces de gesti�n de los CPE de Zyxel y que restrinjan el acceso a la interfaz administrativa a las IP de confianza.

El desarrollo se produce cuando Arctic Wolf inform� que observ� una campa�a que comenz� el 22 de enero de 2025, que implicaba obtener acceso no autorizado a dispositivos que ejecutan el software de escritorio remoto SimpleHelp como vector de acceso inicial.

Actualmente se desconoce si los ataques est�n relacionados con la explotaci�n de fallos de seguridad recientemente revelados en el producto (CVE-2024-57726, CVE-2024-57727 y CVE-2024-57728) que podr�an permitir a un mal actor escalar privilegios a usuarios administrativos y cargar archivos arbitrarios.

"Los primeros signos de compromiso fueron las comunicaciones desde el proceso cliente a una instancia no aprobada del servidor SimpleHelp", dijo el investigador de seguridad Andr�s Ramos. "La actividad de la amenaza tambi�n inclu�a la enumeraci�n de cuentas e informaci�n de dominio a trav�s de un proceso cmd.exe iniciado mediante una sesi�n de SimpleHelp, utilizando herramientas como net y nltest. Los actores de la amenaza no fueron observados actuando sobre los objetivos porque la sesi�n fue terminada antes de que el ataque progresara m�s."

Se recomienda encarecidamente a las organizaciones que actualicen sus instancias de SimpleHelp a las �ltimas versiones fijas disponibles para protegerse frente a posibles amenazas.

Fuente: thehackernews