No es raro encontrarnos con ataques informáticos que ponen en riesgo dispositivos de todo tipo. Es algo que puede ocurrir en móviles, ordenadores, routers… Cuando aparecen vulnerabilidades, los piratas informáticos pueden aprovecharse y lanzar campañas para explotarlas. En este artículo, nos hacemos eco de cómo están lanzando ataques contra dispositivos Zyxel, aprovechándose de una vulnerabilidad importante.
Para evitar problemas de este tipo, siempre recomendamos tener todo actualizado. En caso de que tengas algún dispositivo Zyxel de este tipo, es algo que deberías hacer lo antes posible. Solo así protegerás tu equipo y no darás facilidades a los cibercriminales. Vamos a explicarte qué debes hacer. Por suerte, este problema ya ha sido solucionado por parte de Zyxel. Por tanto, solo afecta a aquellos que no tienen la última versión instalada. Es algo fundamental para estar protegidos y te recomendamos instalar ya los parches disponibles, si no lo has hecho.
Dispositivos Zyxel, vulnerables a ataques
Concretamente, es un problema que afecta a firewalls y VPN de Zyxel. Están explotando una vulnerabilidad que ha sido registrada como CVE-2023-28771. Esto permite que los cibercriminales puedan explotar una vulnerabilidad crítica y ejecutar código de forma remota. Afecta a una gran variedad de dispositivos de este tipo, en todo el mundo.
Estos ataques aprovechan el puerto UDP 500. Permite inyectar comandos del sistema de forma remota y, de esta forma, tomar el control de los dispositivos vulnerables. Un problema importante, que va a comprometer tu seguridad en caso de que tengas un aparato Zyxel de este tipo, sin parchear.
Este problema lo han detectado desde GreyNoise. La vulnerabilidad ha sido calificada como muy grave, con una puntuación de 9.8 en la escala CVSS. Afecta a organizaciones en múltiples lugares del mundo y esto también incluye a España, junto a otros países como Estados Unidos, Reino Unido o Alemania. Son lugares en los que hay una gran presencia de dispositivos Zyxel en empresas y organismos gubernamentales.
Para explotar este fallo, los atacantes pueden hacerlo al enviar un único paquete IKE, especialmente diseñado para ese puerto UDP 500 que hemos mencionado. Esto es lo que desencadena la ejecución remota de código sin necesidad de autenticación. Si tu dispositivo es atacado, puede empezar a formar parte de una botnet o red de bots. Básicamente, son equipos que van a usar los atacantes para lanzar otros ataques, como Phishing, campañas de Spam, etc.
Cómo protegerte
Entonces, ¿qué debes hacer para evitar problemas, en caso de que tengas un dispositivo Zyxel? Sin duda, lo más importante es instalar todas las actualizaciones que haya disponibles. Es esencial corregir la vulnerabilidad CVE-2023-28771 y esto lo consigues al instalar los parches de seguridad.
También es buena idea supervisar la actividad en los dispositivos y bloquear direcciones IP que sean sospechosas. Han detectado 244 IP por parte de GreyNoise, las cuales están utilizando para este tipo de ataques. Además, restringir el puerto UDP 500, es buena idea para limitar la exposición y correr menos riesgo.
Ten en cuenta que, hoy en día, hay una creciente automatización de exploits, lo que permite a los ciberdelincuentes explotar este tipo de vulnerabilidades con mayor facilidad. Es más importante que nunca tener todo perfectamente actualizado y no dar facilidades a los piratas informáticos. Un ejemplo claro es lo que hemos visto, con esta vulnerabilidad que afecta a dispositivos de Zyxel.