针对这起攻击行动发现的过程,GreyNoise安全研究暨侦测工程资深经理Glenn Thorpe表示,他们最初在1月21日发现这项漏洞被积极利用的现象,攻击者利用这项重大层级的命令注入漏洞,针对合勤旗下的CPE系列网路设备发动攻击,从而在这些设备执行任意命令,从而完全渗透系统、资料泄漏,或是入侵网路环境。GreyNoise研究团队透过物联网装置搜寻引擎Censys寻找曝险装置,结果他们找到超过1,500台合勤设备,这些设备大部分位于菲律宾,但土耳其、英国、法国也有装置曝险。
对于这项弱点的揭露,Glenn Thorpe提及这项弱点起初并未登记CVE编号,去年VulnCheck首度公布时,他们是以Zyxel CPE Telnet Command Injection表示这项弱点,直到两家资安业者合作调查攻击事故,才确认GreyNoise观察到的攻击流量就是利用这项漏洞。由于已出现数量庞大的攻击行动,两家资安业者决定在没有与合勤进行协调之下公开此事。
针对攻击行动的调查,Glenn Thorpe表示他们根据攻击来源IP位址进行比对,确认是其中一种近期出现的Mirai变种,部分版本的僵尸网路病毒会利用CVE-2024-40891来入侵设备。