
Peneliti cybersecurity memperingatkan bahwa kerentanan nol-hari kritis yang berdampak pada perangkat Seri CPE Zyxel adalah melihat upaya eksploitasi aktif di alam liar.
“Penyerang dapat memanfaatkan kerentanan ini untuk melaksanakan perintah sewenang -wenang pada perangkat yang terkena dampak, yang mengarah pada kompromi sistem lengkap, exfiltrasi data, atau infiltrasi jaringan,” kata peneliti Greynoise Glenn Thorpe dalam sebuah peringatan yang diterbitkan Selasa.
Kerentanan yang dimaksud adalah CVE-2024-40891, kerentanan injeksi komando kritis yang belum diungkapkan atau ditambal secara publik. Keberadaan bug pertama kali dilaporkan oleh Vulncheck pada Juli 2024.

Statistik yang dikumpulkan oleh Perusahaan Ancaman Intelijen menunjukkan bahwa upaya serangan telah berasal dari lusinan alamat IP, dengan mayoritas dari mereka yang berlokasi di Taiwan. Menurut Sensys, ada lebih dari 1.500 perangkat rentan secara online.
“CVE-2024-40891 sangat mirip dengan CVE-2024-40890, dengan perbedaan utama adalah bahwa yang pertama berbasis telnet sedangkan yang terakhir berbasis HTTP,” tambah Greynoise. “Kedua kerentanan memungkinkan penyerang yang tidak aautentikasi untuk melaksanakan perintah sewenang -wenang menggunakan akun layanan.”
Vulncheck mengatakan kepada Hacker News bahwa itu sedang bekerja melalui proses pengungkapannya dengan perusahaan Taiwan. Kami telah menghubungi Zyxel untuk komentar lebih lanjut, dan kami akan memperbarui cerita jika kami mendengar kembali.

Sementara itu, pengguna disarankan untuk menyaring lalu lintas untuk permintaan HTTP yang tidak biasa ke antarmuka manajemen CPE Zyxel dan membatasi akses antarmuka administratif ke IP tepercaya.
Pengembangan datang ketika Arktik Wolf melaporkan mengamati kampanye mulai 22 Januari 2025, yang melibatkan mendapatkan akses yang tidak sah ke perangkat yang menjalankan perangkat lunak desktop jarak jauh SimpleHelp sebagai vektor akses awal.
Saat ini tidak diketahui apakah serangan tersebut terkait dengan eksploitasi kelemahan keamanan yang baru-baru ini diungkapkan dalam produk (CVE-2024-57726, CVE-2024-57727, dan CVE-2024-57728) yang dapat memungkinkan aktor yang buruk untuk meningkatkan hak istimewa untuk meningkatkan hak istimewa untuk meningkatkan hak istimewa untuk meningkatkan hak istimewa untuk meningkatkan hak istimewa untuk meningkatkan hak istimewa untuk meningkatkan hak istimewa untuk meningkatkan hak istimewa untuk meningkatkan hak istimewa untuk meningkatkan hak istimewa untuk meningkatkan hak istimewa untuk meningkatkan hak istimewa untuk meningkatkan hak istimewa untuk meningkatkan hak istimewa untuk meningkatkan hak istimewa untuk meningkatkan hak istimewa yang buruk pengguna administratif dan unggah file sewenang -wenang.

“Tanda -tanda kompromi pertama adalah komunikasi dari proses klien ke instance server SimpleHelp yang tidak disetujui,” kata peneliti keamanan Andres Ramos. “Kegiatan ancaman juga melibatkan pencacahan akun dan informasi domain melalui proses CMD.exe yang dimulai melalui sesi SimpleHelp, menggunakan alat -alat seperti NET dan NLTEST. Aktor ancaman tidak diamati bertindak berdasarkan tujuan karena sesi tersebut diakhiri sebelum serangan berlangsung lebih jauh.”
Organisasi sangat disarankan untuk memperbarui contoh sederhana mereka ke versi tetap terbaru yang tersedia untuk mengamankan terhadap potensi ancaman.