iThome
关于2023年度的第7大资安漏洞,我们认为是CVE-2023-28771,这项漏洞发生在兆勤(Zyxel)防火墙与VPN设备,不只被攻击者用于散布僵尸网路病毒,也传出能源关键基础设施受害的情况。
由于防火墙是防护内部网路环境、重要设备的主要防线,这类系统遭到锁定的情况也相当常见,骇客更是无所不用其极利用这类设备的漏洞,企图对其进行控制,或是突破防御进入内部环境。
而这项漏洞的突出之处在于,产品供应商将弱点资讯公布后,这项漏洞不仅随即被用于攻击,甚至后续攻击者也串连该公司先前修补的另外两个漏洞,增加利用CVE-2023-28771破坏威力。
另一方面,由于这项漏洞在公布之后,也出现针对关键基础设施发动攻击的情况,而可能导致社会动荡,使该漏洞影响趋于广泛。丹麦关键基础设施电脑紧急应变小组(SektorCERT)指出,有超过20家丹麦能源关键基础设施遭遇漏洞攻击,究竟有多少骇客组织参与,目前仍不得而知。
漏洞公开后传出被用于攻击行动
兆勤科技于4月底修补CVE-2023-28771,CVSS风险评分为9.8。5月底研究人员提出警告,骇客针对兆勤修补的上述防火墙重大漏洞,发动大规模攻击,如今态势变得更加严重。
5月下旬资安业者Rapid7提出警告,他们透过物联网搜寻引擎Shodan,找到约4.2万台未修补的设备暴露在网际网路,而这项数字,并不包含未修补该漏洞且暴露在网际网路的VPN设备,因此实际可能成为攻击目标的数量远大于此。
研究人员指出,这项漏洞存在网际网路金钥交换(IKE)封包解密工具,此为Zyxel提供IPSec VPN服务的重要元件,即使IT人员并未启用VPN功能也会曝险。研究人员指出,虽然截至2023年5月19日为止,尚未发现攻击行动,但因为有大量设备存在上述漏洞,他们认为骇客很快就会对其下手。
兆勤于6月2日发布资安通告指出,骇客不只利用CVE-2023-28771,5月底修补的两个重大漏洞:CVE-2023-33009、CVE-2023-33010,也出现遭到利用的现象,该公司呼吁用户尽速套用最新版本韧体,或暂时停用WAN连接埠的HTTP及HTTPS服务,以因应这样的风险。
多个关键基础设施业者也因此遭遇攻击
但值得留意的是,后续有更明确的资安事故传出。
先是资安业者Fortinet揭露Mirai僵尸网路变种Dark.IoT最新一波的攻击行动,他们在今年6月看到锁定兆勤科技防火墙及VPN设备而来的情况,攻击者利用CVE-2023-28771来入侵目标系统,并使用curl或wget来下载指令码并执行,以便下载专为MIPS架构打造的攻击工具,最终目的是散播僵尸网路病毒Dark.IoT、绑架资安设备、将它们用于DDoS攻击。
而这项漏洞的危害范围,甚至传出扩及关键基础设施的情况。
对此,丹麦关键基础设施电脑紧急应变小组揭露发生于今年5月的攻击行动,当时,骇客利用兆勤科技防火墙重大漏洞CVE-2023-28771,取得22家当地经营能源关键基础设施业者的存取权限,其中有11家随即遭到入侵,攻击者控制防火墙设备,进而存取该设备保护的关键基础设施,执行恶意程式码,回传防火墙配置的详细资料,此举可能是进行侦察,以便决定下一步执行的攻击手法。
这起大规模攻击从5月11日开始,间隔10天后于22日再度进行,SektorCERT得知其中成员透过不安全的连线,下载新版防火墙软体。而关于攻击者的身分,SektorCERT根据受害业者的网路流量,指出俄罗斯骇客组织Sandworm可能参与其中,但究竟有多少骇客组织参与攻击行动?目前仍不明朗。