Le botnet Distributed Denial of Service (DDoS) sono state utilizzate per sfruttare una vulnerabilità critica riscontrata nei modelli di firewall Zyxel. La falla, identificata dai ricercatori di sicurezza di Fortinet come CVE-2023-28771, riguarda nello specifico i sistemi operativi Linux.
Sfruttando tale vulnerabilità, gli aggressori remoti hanno ottenuto il controllo non autorizzato dei sistemi, consentendo loro di effettuare massicci attacchi DDoS.
L’analista antivirus senior di Fortinet Cara Lin, nella giornata di ieri, ha commentato l’accaduto via blog “La gravità di questo difetto, valutata 9,8 sul sistema di punteggio CVSS, è stata segnalata dai ricercatori di TRAPA Security“.
Dopo che la ricerca di Fortinet ha rivelato la vulnerabilità, Zyxel ha prontamente rilasciato un avviso di sicurezza. Nonostante ciò, in risposta alla pubblicazione della falla, Fortinet ha osservato un aumento delle attività dannose.
Secondo i dati raccolti, la campagna è andata a colpire prevalentemente Nord-centro America, così come nell’Asia orientale e in quella meridionale.
Firewall Zyxel e Linux: applicare gli aggiornamenti di sicurezza è fondamentale per evitare disastri
In particolare, Lin ha affermato che Fortinet ha scoperto più botnet DDoS, tra cui Dark.IoT, una variante basata su Mirai, che hanno sfruttato la vulnerabilità per lanciare attacchi.
L’analista antivirus ha dunque raccomandato alle organizzazioni che operano su piattaforme Linux e firewall Zyxel di dare la priorità massima all’applicazione degli aggiornamenti correttivi “Per affrontare efficacemente questa minaccia, è fondamentale dare priorità all’applicazione di patch e aggiornamenti quando possibile. Si consiglia vivamente di adottare misure proattive per garantire la sicurezza di questi dispositivi“.
Questo tipo di emergenza, va detto, non è di certo un evento eccezionale. L’avviso di Fortinet arriva mesi dopo che un’analisi di aprile di Jason Steer, CISO di Recorded Future, ha evidenziato un numero crescente di attacchi DDoS nel 2023 e come questa tendenza sia collegata alle principali bande di ransomware in circolazione.