【安全资讯】CVE-2024-11667: Zyxel防火墙中的关键漏洞被积极利用

概要：

近期，德国CERT（CERT-Bund）与Zyxel联合警告，Zyxel防火墙中存在的关键漏洞CVE-2024-11667正在被积极利用。该漏洞使得攻击者能够部署Helldown勒索软件，初步报告显示至少有五个德国实体受到影响。此事件突显了网络安全威胁的严重性，尤其是在企业和组织中。

主要内容：

CVE-2024-11667是Zyxel ZLD固件版本5.00至5.38中的目录遍历漏洞，成功利用后，攻击者可以通过特制的URL进行未经授权的文件上传和下载。这可能导致敏感信息的泄露，包括系统凭据，从而使攻击者能够建立恶意VPN连接并修改防火墙安全策略。受影响的设备包括在本地模式下运行的Zyxel ATP和USG FLEX系列防火墙，以及启用远程管理或SSL VPN的ZLD固件版本4.32至5.38的设备。值得注意的是，使用Nebula云管理模式的设备不受此漏洞影响。

Helldown勒索软件首次出现在2024年8月，似乎是LockBit勒索软件构建器的变种。这种复杂的勒索软件展现了先进的战术，包括在被攻陷的网络中进行横向移动，以最大化其影响力。令人担忧的是，即使针对CVE-2024-11667进行了补丁，若用户凭据自初次被攻陷以来未更新，系统仍可能脆弱。

为应对这一关键威胁，Zyxel已发布ZLD固件版本5.39以修复该漏洞。然而，CERT-Bund和Zyxel强调，仅靠补丁不足以解决问题。组织应立即重置所有用户账户的密码，增强网络监控，禁用非必要服务，并定期备份关键数据，以确保在勒索软件攻击发生时的业务连续性。