CVE-2023-28771 ist eine OS-Command-Injection-Schwachstelle mit einem kritischen CVSS v3.1-Score von 10.0 (AV:N/AC:L/Au:N/C:C/I:C/A:C). Dieser Schweregrad ergibt sich aus der Ausnutzbarkeit über das Netzwerk, der geringen Komplexität des Angriffs und der fehlenden Notwendigkeit einer Authentifizierung. Die Schwachstelle wurde aktiv in realen Umgebungen ausgenutzt, weshalb sie am 31. Mai 2023 in den Katalog der bekannten ausgenutzten Schwachstellen (Known Exploited Vulnerabilities Catalog) der CISA aufgenommen wurde. Beobachtete Ausnutzungsversuche, einschließlich eines konzentrierten Anstiegs am 16. Juni 2023, betrafen 244 eindeutige bösartige IP-Adressen, wobei Indikatoren auf Varianten des Mirai-Botnets hindeuteten. Insbesondere war diese Schwachstelle ein kritischer Vektor bei einem groß angelegten Cyberangriff auf dänische kritische Infrastrukturen, der dem russischen militärischen Nachrichtendienst GRU zugeschrieben wird und 22 Energieunternehmen sowie deren industrielle Steuerungssysteme (ICS) ins Visier nahm.

Datum

23.06.2025 17:09:46

Technische Zusammenfassung

Die Schwachstelle resultiert aus einer „unsachgemäßen Fehlerbehandlung“ innerhalb der Internet Key Exchange (IKE)-Paketdecoder von Zyxel. Dieser Defekt ermöglicht es einem nicht authentifizierten Angreifer, durch das Senden speziell präparierter Pakete an das anfällige Gerät eine Remote Code Execution (RCE) zu erreichen. Die Ausnutzung zielt spezifisch auf den IKE-Paketdecoder ab, der auf dem UDP-Port 500 arbeitet. Die Pre-Authentication-Natur und die Möglichkeit, IP-Adressen auf dem UDP-Port 500 zu fälschen, erschweren die Zuordnung und erweitern die Angriffsfläche.

Zu den betroffenen Zyxel-Produkten und den entsprechenden anfälligen Firmware-Versionen gehören:

• ATP-Serie: ZLD V4.60 bis V5.35
• USG FLEX-Serie: ZLD V4.60 bis V5.35
• VPN-Serie: ZLD V4.60 bis V5.35
• ZyWALL/USG-Serie: ZLD V4.60 bis V4.73

Empfehlungen

Sofortige Patch-Anwendung: Aktualisieren Sie alle betroffenen Zyxel-Firewalls auf die neuesten Firmware-Versionen, die diese Schwachstelle beheben.
Für die ATP-, USG FLEX- und VPN-Serien: Upgrade auf ZLD V5.36.
Für die ZyWALL/USG-Serie: Upgrade auf ZLD V4.73 Patch 1.

Exposition einschränken: Wenden Sie Netzwerkfilter an, um die unnötige Exposition des UDP-Ports 500 auf WAN-Schnittstellen zu reduzieren und sicherzustellen, dass nur legitime VPN-Zugriffe möglich sind.
Beschränken Sie den Fernzugriff auf alle Netzwerkgeräte, insbesondere auf Verwaltungsschnittstellen, durch die Durchsetzung einer starken Authentifizierung wie MFA und IP-Whitelisting.

Kontrollen stärken: Implementieren und erzwingen Sie eine Netzwerksegmentierung für kritische Systeme, insbesondere zwischen IT- und OT-Netzwerken, um seitliche Bewegungen im Falle einer Kompromittierung zu begrenzen.
Überwachen Sie aktiv Aktivitäten nach einer Ausnutzung, wie z. B. ungewöhnliche ausgehende Verbindungen oder nicht autorisierte Prozesse, da eine erfolgreiche Ausnutzung zur Aufnahme in Botnets oder zu weiteren Kompromittierungen führen kann.
Deaktivieren Sie die Verwendung von Geräten, die das Ende ihrer Lebensdauer (End-of-Life, EOL) erreicht haben, in Produktionsumgebungen oder wenn sie mit dem Internet verbunden sind und nicht mehr aktualisiert werden können.

[Callforaction-THREAT-Footer]