Lỗ hổng nghiêm trọng trong Zyxel bị hacker tái khai thác trên toàn cầu

[WhiteHat Team]

Các chuyên gia an ninh mạng đã phát hiện một làn sóng tấn công mạng quy mô lớn đang khai thác lỗ hổng cực kỳ nghiêm trọng (CVE-2023-28771) trong các thiết bị tường lửa (firewall) do hãng Zyxel sản xuất.

Đây là một cuộc tấn công có tổ chức, được thực hiện thông qua cổng mạng UDP/500 và có liên quan đến mã độc điều khiển botnet Mirai vốn từng gây ra nhiều vụ tấn công mạng lớn trong quá khứ (đây là đợt khai thác quy mô lớn đầu tiên kể từ khi lỗ hổng được phát hiện vào tháng 4 năm 2023).

Kẻ tấn công có thể gửi các gói UDP tới cổng UDP/500 và chèn lệnh hệ điều hành chạy dưới quyền root mà không cần đăng nhập hay cấu hình VPN.

Lỗ hổng CVE-2023-28771 là gì?​

CVE‑2023‑28771 là một lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng, có CVSS 9,8/10, tức là mức cao nhất trong thang đo mức độ nguy hiểm. Lỗi xuất phát từ quá trình xử lý sai gói dữ liệu VPN (IKEv2) của thiết bị Zyxel, cho phép tin tặc gửi gói tin độc hại qua cổng UDP/500, từ đó thực thi lệnh hệ thống với quyền quản trị cao nhất (root) mà không cần tài khoản đăng nhập hay quyền truy cập đặc biệt.

Thiết bị nào bị ảnh hưởng?​

Các dòng thiết bị Zyxel dễ bị tấn công bao gồm:

Dòng sản phẩm	Phiên bản bị ảnh hưởng	Phiên bản đã vá
ATP Series	ZLD V4.60 – V5.35	ZLD V5.36
USG FLEX Series	ZLD V4.60 – V5.35	ZLD V5.36
ZyWALL/USG Series	ZLD V4.60 – V4.73	ZLD V4.73 Patch 1

Cuộc tấn công được phát hiện như thế nào?​

• Ngày 16/6/2025, hệ thống của GreyNoise ghi nhận hơn 244 địa chỉ IP khác nhau đồng loạt quét và tấn công các thiết bị Zyxel thông qua cổng UDP/500.
• Đáng chú ý, phần lớn IP được định vị tại Mỹ và đăng ký bởi Verizon Business, tuy nhiên kỹ thuật giả mạo IP (UDP spoofing) khiến việc truy vết nguồn gốc chính xác trở nên khó khăn.
• Các quốc gia bị nhắm đến nhiều nhất bao gồm: Mỹ, Anh, Tây Ban Nha, Đức và Ấn Độ.

Hacker sẽ làm gì sau khi xâm nhập?​

Thông qua việc lợi dụng lỗ hổng, tin tặc có thể:

1. Chiếm quyền kiểm soát thiết bị và biến chúng thành "zombie" trong mạng botnet, đặc biệt là biến thể Mirai vốn thường được dùng để thực hiện tấn công DDoS quy mô lớn.
2. Di chuyển ngang trong hệ thống nội bộ, tiếp tục khai thác các máy chủ và thiết bị khác.
3. Đánh cắp dữ liệu hoặc mở cửa hậu (backdoor) để sử dụng trong các cuộc tấn công trong tương lai.

Mức độ nguy hiểm và tác động toàn cầu​

• Tin tặc có thể xâm nhập và chiếm quyền hệ thống mạng chỉ bằng một gói tin gửi tới cổng UDP – không cần đăng nhập.
• Các thiết bị Zyxel hiện được sử dụng rộng rãi trong cả doanh nghiệp nhỏ, trường học, thậm chí cả hộ gia đình tại Việt Nam và nhiều quốc gia khác.
• Việt Nam cũng có nguy cơ cao: Nhiều doanh nghiệp SMB, tổ chức sử dụng thiết bị Zyxel với cấu hình mặc định, ít cập nhật bản vá nên dễ trở thành nạn nhân tiếp theo.

Người dùng cần làm gì để bảo vệ hệ thống?​

1. Cập nhật thiết bị Zyxel lên bản vá mới nhất:
   • ATP/USG FLEX/VPN: cập nhật lên ZLD V5.36
   • ZyWALL/USG: cập nhật lên ZLD V4.73 Patch 1
2. Chặn cổng UDP/500 từ bên ngoài, nếu không sử dụng VPN.
3. Chặn các địa chỉ IP nghi vấn được liệt kê bởi GreyNoise (dù có thể giả mạo, vẫn hữu ích để giảm rủi ro).

Theo dõi và phát hiện dấu hiệu bị tấn công​

• Kiểm tra các quá trình chạy lạ, lưu lượng mạng tăng bất thường hoặc kết nối ra ngoài đáng ngờ từ thiết bị mạng.
• Soát lại log truy cập VPN và cấu hình hệ thống.
• Cô lập ngay các thiết bị nghi ngờ, tiến hành phân tích forensics và khôi phục từ bản sao lưu an toàn.

Lỗ hổng CVE-2023-28771 không mới nhưng đợt tấn công quy mô lớn này cho thấy mức độ nghiêm trọng của việc không cập nhật phần mềm định kỳ. Với cách khai thác đơn giản nhưng hiệu quả cao, kẻ tấn công có thể nhanh chóng kiểm soát hệ thống mạng chỉ với một gói tin duy nhất.

Các tổ chức, doanh nghiệp và cá nhân đang sử dụng thiết bị Zyxel cần ngay lập tức rà soát kiểm tra, cập nhật và giám sát hệ thống ngay lập tức để không trở thành nạn nhân tiếp theo trong chuỗi tấn công mạng toàn cầu.

Theo Cyber Press​