16 июня аналитики GreyNoise обнаружили активные попытки эксплуатации уязвимости CVE-2023-28771, связанной с удаленным выполнением кода в декодерах пакетов Internet Key Exchange (IKE) от Zyxel через UDP-порт 500. В течение одного дня было зарегистрировано 244 уникальных IP-адреса, атакующих устройства в США, Великобритании, Испании, Германии и Индии.
Описание
Все зафиксированные IP-адреса принадлежат Verizon Business и геолоцируются в США, однако из-за UDP-трафика возможен спуфинг, что затрудняет точное определение источника атак. Анализ GreyNoise выявил признаки активности, характерные для ботнетов на базе Mirai, что подтверждается данными VirusTotal.
В течение двух недель до 16 июня эти IP-адреса не проявляли иной вредоносной активности, что указывает на целенаправленную кампанию. GreyNoise рекомендует заблокировать указанные IP-адреса, несмотря на возможность спуфинга, а также проверить наличие обновлений для уязвимых устройств Zyxel. Дополнительно эксперты советуют ограничить доступ к UDP-порту 500 и усилить мониторинг сетевой активности на предмет аномалий.
