Link-2-Secure

Cybersecurity and data breach news

Backdoor w urządzeniach Zyxel-a

Prawie 100.000 urządzeń Zyxel-a zostało narażonych „dzięki” ukrytemu backdoor’owi.

Zyxel udostępnił łatkę, która ma na celu usunięcie krytycznej luki w firmware’u dotyczącej ukrytego, nieudokumentowanego konta, które może zostać wykorzystane przez atakującego do zalogowania się z uprawnieniami administracyjnymi i przejęcia kontroli nad urządzeniami sieciowymi.

Luka, oznaczona jako CVE-2020-29583 (wynik CVSS 7.8), dotyczy wersji 4.60 obecnej w szerokim zakresie urządzeń Zyxel, w tym w produktach Unified Security Gateway (USG), USG FLEX, ATP i firewall’i.

Analityk EYE (Niels Teusink, Holandia) poinformował o wystąpieniu luki w oprogramowaniu Zyxel 29 listopada. 18 grudnia Zyxel opublikował pierwszą łatkę do firmware’u (ZLD V4.60 Patch1).

Zgodnie z poradą opublikowaną przez Zyxel, nieudokumentowane konto („zyfwp”) posiada niezmienne hasło, które nie tylko jest przechowywane w formie otwartego tekstu (nie jest zaszyfrowane), ale może być również wykorzystane przez strony trzecie do zalogowania się do serwera SSH lub interfejsu WWW z uprawnieniami administratora.

Zyxel poinformował, że twarde dane uwierzytelniające zostały wprowadzone w celu dostarczania automatycznych aktualizacji firmware’u do podłączonych punktów dostępowych poprzez FTP.

„Ponieważ użytkownik 'zyfwp’ ma uprawnienia administratora, jest to poważna luka”, powiedział Teusink w artykule. „Napastnik może całkowicie naruszyć poufność, integralność i dostępność urządzenia. Ktoś mógłby na przykład zmienić ustawienia firewalla, aby zezwolić lub zablokować pewien ruch. Mógłby również przechwycić ruch lub utworzyć konta VPN, aby uzyskać dostęp do sieci za urządzeniem. W połączeniu z luką, taką jak Zerologon, może to być katastrofalne dla małych i średnich firm”.

Oczekuje się, że tajwańska firma zajmie się tym problemem również w swoich kontrolerach punktu dostępowego (AP) z łatką V6.10, która ma być udostępniona w kwietniu 2021 roku.

Zaleca się, aby użytkownicy instalowali niezbędne aktualizacje firmware’u w celu ograniczenia ryzyka związanego z wadą.

Problem dotyczy następujących serii urządzeń:

Firewalle:

  • Seria ATP z oprogramowaniem sprzętowym ZLD V4.60: ZLD V4.60 Patch1 w grudniu 2020 r.
  • Seria USG z oprogramowaniem sprzętowym ZLD V4.60: ZLD V4.60 Patch1 w grudniu 2020 r.
  • Seria USG FLEX z oprogramowaniem sprzętowym ZLD V4.60: ZLD V4.60 Patch1 w grudniu 2020 r.
  • Seria VPN z oprogramowaniem sprzętowym ZLD V4.60: ZLD V4.60 Patch1 w grudniu 2020 r.

Kontrolery:

  • NXC2500: V6.10 Patch1 w kwietniu 2021 r.
  • NXC5500: V6.10 Patch1 w kwietniu 2021 r.,

Link do raportu Zyxel’a