พบช่องโหว่ Zero-day ในเราท์เตอร์ และ Firewall ของ Zyxel ตระกูล CPE หลายรุ่น ที่ทำให้แฮกเกอร์สามารถรันคำสั่งจากระยะไกลผ่าน HTTP หรือ Telnet ช่องโหว่นี้ได้แก่ CVE-2024-40890 และ CVE-2024-40891 ความรุนแรง 8.8 / 10 คะแนน ซึ่งเปิดโอกาสให้แฮกเกอร์เข้ามาล้วงข้อมูลในเครือข่ายได้โดยไม่ต้อง Login และปัจจุบันมีรายงานแล้วว่ามีการนำช่องโหว่นี้มาใช้ในการโจมตีจริงแล้ว
อุปกรณ์ Zyxel กว่า 1,500 ตัวที่ได้รับผลกระทบจากช่องโหว่นี้ ได้แก่ โมเดล VVMG1312-B10A, VMG1312-B10B, VMG1312-B10E, VMG3312-B10A, VMG3313-B10A, VMG3926-B10B, VMG4325-B10A, VMG4380-B10A, VMG8324-B10A, VMG8924-B10A, SBG3300 และ SBG3500 นั้นมีความเสี่ยงสูงต่อการถูกโจมตี
ทาง Zyxel ได้ยืนยันว่าอุปกรณ์ที่ได้รับผลกระทบเหล่านี้หมดอายุการซัพพอร์ตและเข้าสู่ระยะ End of Service (EOL) แล้ว ซึ่งจะไม่มีการออกแพตช์เพื่อแก้ไขช่องโหว่ ดังนั้นผู้ใช้งานควรพิจารณาเปลี่ยนอุปกรณ์ แม้ว่าอุปกรณ์บางรุ่นยังไม่หมดอายุการรับประกัน (MA) และบางรุ่นยังมีวางขายอยู่บน Amazon ก็ตาม
นักวิจัยจาก GreyNoise แนะนำให้ผู้ใช้ดำเนินการป้องกันเบื้องต้น เช่น การบล็อกคำขอการเข้าถึงหน้าตั้งค่าผ่าน HTTP และ Telnet ที่ผิดปกติ และการจำกัดสิทธิ์การเข้าถึงหน้า Management ของอุปกรณ์ให้เฉพาะ IP ที่เชื่อถือได้ นอกจากนี้ยังพบช่องโหว่เพิ่มเติมที่อาจทำให้แฮกเกอร์สามารถยกระดับสิทธิ์ตัวเองในระบบได้ เมื่อได้สิทธิ์ผู้ดูแลระบบแล้ว แฮกเกอร์จะสามารถอัปโหลดไฟล์ที่มีมัลแวร์เพื่อแพร่กระจายในระบบ หรือเข้ามายึดเครื่องได้อย่างง่ายดาย
อย่างไรก็ตามจากการวิเคราะห์ พบว่าการโจมตีส่วนใหญ่มาจาก IP ที่อยู่ในไต้หวัน ซึ่งอาจบ่งชี้ว่าการโจมตีช่องโหว่นี้มีเป้าหมายเฉพาะเจาะจงมากกว่าการโจมตีทั่วไปที่เน้นโจมตีอุปกรณ์ทุกเครื่องที่ออนไลน์อยู่ ปัจจุบันยังไม่มีวิธีการอุดช่องโหว่จากผู้ผลิตอย่างชัดเจน โดยผู้ใช้สามารถทำได้เพียงแค่การอุดช่องโหว่แบบ Manual หรือการเปลี่ยนอุปกรณ์ไปใช้รุ่นที่ไม่ได้รับผลกระทบจากช่องโหว่นี้ เพื่อป้องกันความเสี่ยงจากการถูกโจมตี หากใครใช้อุปกรณ์ที่เข้าข่ายควรระมัดระวังและดำเนินการป้องกันด้วยนะครับ
ที่มา : thehackernews techcrunch
Comment