Prawie 100.000 urządzeń Zyxel-a zostało narażonych „dzięki” ukrytemu backdoor’owi.
Zyxel udostępnił łatkę, która ma na celu usunięcie krytycznej luki w firmware’u dotyczącej ukrytego, nieudokumentowanego konta, które może zostać wykorzystane przez atakującego do zalogowania się z uprawnieniami administracyjnymi i przejęcia kontroli nad urządzeniami sieciowymi.
Luka, oznaczona jako CVE-2020-29583 (wynik CVSS 7.8), dotyczy wersji 4.60 obecnej w szerokim zakresie urządzeń Zyxel, w tym w produktach Unified Security Gateway (USG), USG FLEX, ATP i firewall’i.
Analityk EYE (Niels Teusink, Holandia) poinformował o wystąpieniu luki w oprogramowaniu Zyxel 29 listopada. 18 grudnia Zyxel opublikował pierwszą łatkę do firmware’u (ZLD V4.60 Patch1).
Zgodnie z poradą opublikowaną przez Zyxel, nieudokumentowane konto („zyfwp”) posiada niezmienne hasło, które nie tylko jest przechowywane w formie otwartego tekstu (nie jest zaszyfrowane), ale może być również wykorzystane przez strony trzecie do zalogowania się do serwera SSH lub interfejsu WWW z uprawnieniami administratora.
Zyxel poinformował, że twarde dane uwierzytelniające zostały wprowadzone w celu dostarczania automatycznych aktualizacji firmware’u do podłączonych punktów dostępowych poprzez FTP.
„Ponieważ użytkownik 'zyfwp’ ma uprawnienia administratora, jest to poważna luka”, powiedział Teusink w artykule. „Napastnik może całkowicie naruszyć poufność, integralność i dostępność urządzenia. Ktoś mógłby na przykład zmienić ustawienia firewalla, aby zezwolić lub zablokować pewien ruch. Mógłby również przechwycić ruch lub utworzyć konta VPN, aby uzyskać dostęp do sieci za urządzeniem. W połączeniu z luką, taką jak Zerologon, może to być katastrofalne dla małych i średnich firm”.
Oczekuje się, że tajwańska firma zajmie się tym problemem również w swoich kontrolerach punktu dostępowego (AP) z łatką V6.10, która ma być udostępniona w kwietniu 2021 roku.
Zaleca się, aby użytkownicy instalowali niezbędne aktualizacje firmware’u w celu ograniczenia ryzyka związanego z wadą.
Problem dotyczy następujących serii urządzeń:
Firewalle:
- Seria ATP z oprogramowaniem sprzętowym ZLD V4.60: ZLD V4.60 Patch1 w grudniu 2020 r.
- Seria USG z oprogramowaniem sprzętowym ZLD V4.60: ZLD V4.60 Patch1 w grudniu 2020 r.
- Seria USG FLEX z oprogramowaniem sprzętowym ZLD V4.60: ZLD V4.60 Patch1 w grudniu 2020 r.
- Seria VPN z oprogramowaniem sprzętowym ZLD V4.60: ZLD V4.60 Patch1 w grudniu 2020 r.
Kontrolery:
- NXC2500: V6.10 Patch1 w kwietniu 2021 r.
- NXC5500: V6.10 Patch1 w kwietniu 2021 r.,
Link do raportu Zyxel’a
Czytaj podobne
Grupa hakerów (prawdopodobnie) z Białorusi włamała się na serwery rosyjskiego Roskomnadzoru
Największe na świecie naruszenia danych i ataki hakerskie
EUROPOL – udana akcja, przejęto infrastrukturę wykorzystywaną do propagacji ataków FluBot