Negli ultimi giorni, Zyxel ha emesso un avviso importante riguardo a una vulnerabilità nei suoi firewall che sta essendo sfruttata da un gruppo ransomware. Questa vulnerabilità, identificata come CVE-2024-42057, riguarda una vulnerabilità di iniezione di comando che permette agli attaccanti di eseguire comandi sul sistema operativo dei dispositivi vulnerabili senza autenticazione. In questo articolo, esploreremo la natura di questa vulnerabilità, come viene sfruttata e cosa possono fare gli utenti per proteggersi.
La Vulnerabilità CVE-2024-42057
La vulnerabilità CVE-2024-42057 è una vulnerabilità di iniezione di comando che si trova nell’IPSec VPN di alcuni modelli di firewall Zyxel. Questa vulnerabilità permette agli attaccanti di eseguire comandi sul sistema operativo dei dispositivi vulnerabili inviando un nome utente elaborato alla macchina vulnerabile. Tuttavia, l’attacco è possibile solo se il dispositivo è configurato in modalità di autenticazione User-Based-PSK e esiste un utente valido con un nome utente più lungo di 28 caratteri[1][2][3].
Come Funziona l’Attacco
Per sfruttare questa vulnerabilità, gli attaccanti devono inviare un nome utente elaborato al dispositivo vulnerabile. Questo nome utente deve essere lungo più di 28 caratteri e deve essere configurato per l’autenticazione User-Based-PSK. Una volta che il nome utente è inviato, l’attaccante può eseguire comandi sul sistema operativo del dispositivo, permettendo loro di accedere e modificare le impostazioni di sicurezza del dispositivo e della rete[1][2][3].
Attacchi da parte del Gruppo Ransomware Helldown
Il gruppo ransomware Helldown è stato identificato come colui che sta sfruttando questa vulnerabilità nei firewall Zyxel. Secondo le indagini condotte dalla società di sicurezza Sekoia, almeno otto delle vittime del gruppo Helldown utilizzavano firewall Zyxel come punti di accesso VPN IPSec al momento dell’intrusione[4]. Gli attaccanti hanno creato un account utente malizioso chiamato “OKSDW82A” e hanno utilizzato un file di configurazione (“zzz1.conf”) per stabilire una connessione sicura via SSL VPN nei sistemi delle vittime. Questo ha permesso loro di accedere ai controller di dominio, muoversi lateralmente e disabilitare le difese endpoint[4].
Consigli per la Protezione
Per proteggersi da questa vulnerabilità, Zyxel consiglia di aggiornare immediatamente il firmware dei dispositivi a versione 5.39, che include il patch per la vulnerabilità CVE-2024-42057. Inoltre, è raccomandato di disabilitare temporaneamente l’accesso remoto ai firewall vulnerabili fino a quando non saranno stati aggiornati[1][2][3]. Inoltre, è importante aggiornare tutte le password degli amministratori e degli utenti per garantire una maggiore protezione.
Aggiornamento del Firmware
Zyxel ha rilasciato il firmware versione 5.39 per i dispositivi ATP, USG FLEX e USG FLEX 50(W)/USG20(W)-VPN, che include il patch per la vulnerabilità CVE-2024-42057. È fondamentale aggiornare il firmware dei dispositivi al più presto per evitare di essere vulnerabili agli attacchi[1][2][3].
Disabilitazione dell’Accesso Remoto
Disabilitare l’accesso remoto ai firewall vulnerabili è una misura temporanea che può aiutare a prevenire gli attacchi. Questo può essere fatto fino a quando non saranno stati aggiornati i dispositivi con il firmware patchato[1][2][3].
Aggiornamento delle Password
Aggiornare tutte le password degli amministratori e degli utenti è una pratica di sicurezza fondamentale. Questo può aiutare a prevenire l’accesso non autorizzato ai dispositivi e alle reti[1][2][3].
La vulnerabilità CVE-2024-42057 nei firewall Zyxel rappresenta una minaccia significativa per le organizzazioni che utilizzano questi dispositivi. È essenziale aggiornare il firmware dei dispositivi al più presto e disabilitare l’accesso remoto ai firewall vulnerabili. Inoltre, aggiornare tutte le password degli amministratori e degli utenti può aiutare a garantire una maggiore protezione. Gli utenti devono essere consapevoli delle best practice di sicurezza e mantenere i loro dispositivi aggiornati per evitare di essere vulnerabili agli attacchi ransomware.
