Bleeping Computer 網(wǎng)站消息，Gafgyt 惡意軟件正積極利用 Zyxel P660HN-T1A 路由器五年前曝出的漏洞，每天發(fā)動(dòng)數(shù)千次網(wǎng)絡(luò)攻擊活動(dòng)。據(jù)悉，漏洞被追蹤為 CVE-2017-18368，是路由器設(shè)備遠(yuǎn)程系統(tǒng)日志轉(zhuǎn)發(fā)功能中存在的嚴(yán)重性未驗(yàn)證命令注入漏洞（CVSS v3：9.8），Zyxel 已于 2017 年修補(bǔ)了該漏洞。

早在 2019 年，Zyxel 就強(qiáng)調(diào)當(dāng)時(shí)的新變種 Gafgyt 可能會(huì)利用該漏洞發(fā)動(dòng)網(wǎng)絡(luò)攻擊，敦促仍在使用舊固件版本的用戶盡快升級(jí)到最新版本，以保護(hù)其設(shè)備免遭接管。然而自 2023 年 7 月初以來(lái)，F(xiàn)ortinet 仍能夠監(jiān)測(cè)到平均每天 7100 次的攻擊活動(dòng)，且攻擊數(shù)量持續(xù)至今。

Fortinet 發(fā)布警報(bào)表示截止到 2023 年 8 月 7 日，F(xiàn)ortiGuard 實(shí)驗(yàn)室持續(xù)監(jiān)測(cè)到利用 CVE-2017-18368 漏洞的攻擊活動(dòng)，并在過去一個(gè)月中阻止了超過數(shù)千個(gè)獨(dú)特 IPS 設(shè)備的攻擊企圖。

試圖利用 Zyxel 路由器中的 CVE-2017-18368 漏洞（來(lái)源：Fortinet ）

Fortinet 指出雖然目前還尚不清楚觀察到的攻擊活動(dòng)中有哪一部分成功感染了設(shè)備，但自 7 月份以來(lái)，攻擊活動(dòng)一直保持穩(wěn)定。值得一提的是，CISA 近期發(fā)布了 CVE-2017-18368 在野外被利用的情況，并將該漏洞添加到其已知利用漏洞目錄中，要求聯(lián)邦機(jī)構(gòu)在 2023 年 8 月 28 日前修補(bǔ) Zyxel 漏洞。

為應(yīng)對(duì)漏洞利用的爆發(fā)，Zyxel 又更新了安全公告，提醒客戶 CVE-2017-18363 只影響運(yùn)行 7.3.15.0 v001/3.40(ULM.0)b31 或更舊固件版本的設(shè)備，運(yùn)行 2017 年為修復(fù)漏洞而推出的最新固件版本 3.40(BYF.11) 的 P660HN-T1A 路由器不受影響。

此外，Zyxel 表示 P660HN-T1A 在幾年前就已達(dá)到報(bào)廢年限。因此，強(qiáng)烈建議用戶將其更換為更新一代的產(chǎn)品，以獲得最佳保護(hù)。

路由器感染惡意軟件常見跡象包括連接不穩(wěn)定、設(shè)備過熱、配置突然改變、反應(yīng)遲鈍、非典型網(wǎng)絡(luò)流量、開放新端口和意外重啟，如果懷疑自己的設(shè)備受到網(wǎng)絡(luò)惡意軟件的攻擊，用戶可以執(zhí)行出廠重置，將設(shè)備固件更新到最新版本，更改默認(rèn)的管理員用戶憑據(jù)，并禁用遠(yuǎn)程管理面板，只從內(nèi)部網(wǎng)絡(luò)管理設(shè)備。

文章來(lái)源：https://www.bleepingcomputer.com/news/security/gafgyt-malware-exploits-five-years-old-flaw-in-eol-zyxel-router/#google_vignette