数日前■脆弱性の検出が開示された 深刻なセキュリティ ファイアウォールでは、 仮想プライベートネットワークゲートウェイ Zyxel CommunicationsCorpによって製造されたアクセスポイントコントローラー。
先月の詳細は、 セキュリティ研究者 オランダのサイバーセキュリティ会社 アイコントロールは事件を記録した そして彼らは、脆弱性が会社によって製造された100.000以上のデバイスに影響を与えると述べています。
脆弱性 デバイスにハードコードされた管理者レベルのバックドアがあることを意味します これにより、攻撃者はSSHまたはWeb管理パネルを備えたデバイスへのルートアクセスを許可できます。
暗号化されたユーザー名とパスワードが与えられると、ハッカーはZyxelデバイスを使用してネットワークにアクセスできます。
「たとえば、誰かがファイアウォールの設定を変更して、特定のトラフィックを許可またはブロックする可能性があります」と、EyeControlの研究者であるNielsTeusink氏は述べています。 「また、トラフィックを傍受したり、VPNアカウントを作成して、デバイスの背後にあるネットワークにアクセスしたりすることもできます。」
脆弱性は インクルード シリーズデバイス ZyxelのATP、USG、USG Flex、VPN、NXC。
Zyxelは、一般的な名前ではありませんが、主に中小企業が使用するネットワークデバイスを製造する台湾を拠点とする会社です。
実際、同社には驚くほど驚くべき新機能のリストがあります。これは、アナログ/デジタルISDNモデムを設計した世界初の企業であり、ADSL2 +ゲートウェイを備えた最初の企業であり、ポータブルパーソナルファイアウォールを提供した最初の企業です。他の成果の中で、手のひら。
しかし、 Zyxelデバイスで脆弱性が見つかったのはこれが初めてではありません。 XNUMX月のFraunhoferInstitute for Communicationによる調査では、AsusTek Computer Inc.、Netgear Inc.、D-Link Corp.、Linksys、TP-Link Technologies Co. Ltd.、およびAVM Computersysteme VertriebsGmbHとともにZyxelがセキュリティランクを持っていると名付けられました。問題。
Zyxel社の代表者によると、バックドアは悪意のある活動の結果ではありませんでした サードパーティの攻撃者から、例えばroは、更新を自動的にダウンロードするために使用される通常の関数でした FTP経由のファームウェア。
事前定義されたパスワードは暗号化されていないことに注意してください そして、Eye Controlのセキュリティ研究者は、ファームウェアイメージにあるテキストの断片を調べてそれに気づきました。
ユーザーベースでは、 パスワードはハッシュとして保存され、追加のアカウントはユーザーリストから除外されました。 しかし、実行可能ファイルのXNUMXつに、パスワードがクリアテキストで含まれていました。ZyxelはXNUMX月末に問題を通知され、部分的に修正されました。
ZyxelのATP(Advanced Threat Protection)、USG(Unified Security Gateway)、USG FLEXおよびVPNファイアウォール、およびNXC2500およびNXC5500アクセスポイントコントローラーが影響を受けます。
Zyxelは脆弱性に対処しました、正式にはCVE-2020-29583という名前で、アドバイザリで問題を修正するパッチをリリースしました。 通知の中で、同社は、暗号化されたユーザーアカウント「zyfwp」が、FTP経由で接続されたアクセスポイントに自動ファームウェア更新を配信するように設計されていることを指摘しました。
ファイアウォールの問題は、ファームウェアアップデートV4.60Patch1で修正されました。 (デフォルトのパスワードはファームウェアV4.60 Patch0にのみ表示され、古いバージョンのファームウェアは問題の影響を受けないと主張されていますが、デバイスが攻撃される可能性のある古いファームウェアには他の脆弱性があります)。
ホットスポットでは、 この修正は、6.10年1月に予定されているV2021PatchXNUMXアップデートに含まれます。 問題のあるデバイスのすべてのユーザーは、すぐにファームウェアを更新するか、ファイアウォールレベルでネットワークポートへのアクセスを閉じることをお勧めします。
この問題は、VPNサービスとデバイスを管理するためのWebインターフェイスがデフォルトで同じネットワークポート443で接続を受け入れるという事実によって悪化します。そのため、多くのユーザーが外部要求のために443を開いたままにしているためです。 VPNエンドポイントに加えて、彼らは去り、Webインターフェースにログインする機能を残しました。
予備的な見積もりによると、 識別されたバックドアを含む100を超えるデバイス これらはネットワーク上でネットワークポート443を介して接続できます。
影響を受けるZyxelデバイスのユーザーは、最適な保護のために適切なファームウェアアップデートをインストールすることをお勧めします。