Pochi giorni fas il rilevamento di una vulnerabilità è stato divulgato seria sicurezza nei firewall, gateway di rete privata virtuale e controller per punti di accesso prodotti da Zyxel Communications Corp.
È dettagliato che il mese scorso, ricercatori di sicurezza di l'azienda olandese di sicurezza informatica Eye Control ha documentato il caso e affermano che la vulnerabilità interessa più di 100.000 dispositivi prodotti dall'azienda.
Vulnerabilità implica che i dispositivi abbiano una backdoor a livello amministrativo hardcoded che può concedere agli aggressori l'accesso root ai dispositivi con SSH o un pannello di amministrazione web.
Dati il nome utente e la password crittografati, gli hacker possono accedere alle reti utilizzando i dispositivi Zyxel.
"Qualcuno potrebbe, ad esempio, modificare le impostazioni del firewall per consentire o bloccare un determinato traffico", afferma Niels Teusink, ricercatore di Eye Control. "Potrebbero anche intercettare il traffico o creare account VPN per ottenere l'accesso alla rete dietro il dispositivo".
La vulnerabilità è dentro dei dispositivi della serie ATP, USG, USG Flex, VPN e NXC di Zyxel.
Sebbene non sia un nome familiare, Zyxel è un'azienda con sede a Taiwan che produce dispositivi di rete utilizzati principalmente da piccole e medie imprese.
In effetti, la società ha un elenco sorprendentemente notevole di nuove funzionalità: è stata la prima azienda al mondo a progettare un modem ISDN analogico / digitale, la prima con un gateway ADSL2 + e la prima a offrire un firewall personale portatile delle dimensioni di palmo della mano, tra gli altri risultati.
Tuttavia, questa non è la prima volta che vengono rilevate delle vulnerabilità sui dispositivi Zyxel. Uno studio del Fraunhofer Institute for Communication di luglio ha indicato Zyxel insieme ad AsusTek Computer Inc., Netgear Inc., D-Link Corp., Linksys, TP-Link Technologies Co.Ltd. E AVM Computersysteme Vertriebs GmbH come aventi un grado di sicurezza problemi.
Secondo i rappresentanti della società Zyxel, la backdoor non era una conseguenza di attività dannose da aggressori di terze parti, ad esro era una normale funzione utilizzata per scaricare automaticamente gli aggiornamenti firmware tramite FTP.
Va notato che la password predefinita non è stata crittografata e i ricercatori di sicurezza Eye Control lo hanno notato esaminando i frammenti di testo trovati nell'immagine del firmware.
Nella base di utenti, la password è stata memorizzata come hash e l'account aggiuntivo è stato escluso dall'elenco utenti, ma uno dei file eseguibili conteneva la password in chiaro Zyxel è stato informato del problema alla fine di novembre e lo ha parzialmente risolto.
Sono interessati i firewall Zyxel ATP (Advanced Threat Protection), USG (Unified Security Gateway), USG FLEX e VPN, nonché i controller dei punti di accesso NXC2500 e NXC5500.
Zyxel ha affrontato la vulnerabilità, formalmente denominato CVE-2020-29583, in un advisory e ha rilasciato una patch per risolvere il problema. Nell'avviso, la società ha notato che l'account utente crittografato "zyfwp" è stato progettato per fornire aggiornamenti automatici del firmware ai punti di accesso collegati tramite FTP.
Problema del firewall risolto nell'aggiornamento del firmware V4.60 Patch1 (Si afferma che la password predefinita è apparsa solo nel firmware V4.60 Patch0 e le versioni precedenti del firmware non sono interessate dal problema, ma ci sono altre vulnerabilità nel firmware più vecchio attraverso le quali i dispositivi possono essere attaccati ).
Negli hotspot, La correzione sarà inclusa nell'aggiornamento V6.10 Patch1 pianificato per aprile 2021. Si consiglia a tutti gli utenti di dispositivi problematici di aggiornare immediatamente il firmware o chiudere l'accesso alle porte di rete a livello di firewall.
Il problema è aggravato dal fatto che il servizio VPN e l'interfaccia web per la gestione del dispositivo accettano di default connessioni sulla stessa porta di rete 443, motivo per cui molti utenti lasciavano 443 aperti per richieste esterne e quindi Oltre all'endpoint VPN, hanno lasciato e la possibilità di accedere all'interfaccia web.
Secondo stime preliminari, più di 100 dispositivi contenenti la backdoor identificata sono disponibili sulla rete per connettersi tramite la porta di rete 443.
Si consiglia agli utenti dei dispositivi Zyxel interessati di installare gli aggiornamenti firmware appropriati per una protezione ottimale.
fonte: https://www.eyecontrol.nl