Prieš kelias dienass buvo atskleistas pažeidžiamumas rimtas saugumas užkardose, virtualaus privataus tinklo šliuzai ir prieigos taškų valdiklius, kuriuos gamina „Zyxel Communications Corp“.
Išsamiau, kad praėjusį mėnesį saugumo tyrinėtojai Nyderlandų kibernetinio saugumo įmonė „Eye Control“ dokumentavo atvejį ir jie mini, kad pažeidžiamumas paveikė daugiau nei 100.000 XNUMX bendrovės pagamintų įrenginių.
Pažeidžiamumas reiškia, kad įrenginiuose yra užkoduotas administracinio lygio užnugaris kuris gali suteikti užpuolikams root prieigą prie įrenginių su SSH arba žiniatinklio administratoriaus skydeliu.
Atsižvelgdami į užšifruotą vartotojo vardą ir slaptažodį, įsilaužėliai gali gauti prieigą prie tinklų naudodami „Zyxel“ įrenginius.
„Kažkas galėtų, pavyzdžiui, pakeisti užkardos nustatymus, kad leistų arba blokuotų tam tikrą srautą“, - sako „Eye Control“ tyrėjas Nielsas Teusinkas. "Jie taip pat galėtų sulaikyti srautą arba sukurti VPN paskyras, kad galėtų pasiekti prie tinklo esantį įrenginį."
Pažeidžiamumas yra The serijos prietaisai ATP, USG, USG Flex, VPN ir NXC iš „Zyxel“.
Nors tai nėra namų pavadinimas, „Zyxel“ yra Taivane įsikūrusi įmonė, gaminanti tinklo įrenginius, kuriuos pirmiausia naudoja mažos ir vidutinės įmonės.
Iš tikrųjų kompanija turi stebėtinai puikų naujų funkcijų sąrašą: ji buvo pirmoji kompanija pasaulyje, sukūrusi analoginį / skaitmeninį ISDN modemą, pirmoji su ADSL2 + šliuzais ir pirmoji, pasiūliusi nešiojamąjį asmeninį užkardą, kurios dydis delno, be kitų pasiekimų.
Tačiau tai ne pirmas kartas, kai „Zyxel“ įrenginiuose randama pažeidžiamumų. Liepos mėn. „Fraunhofer“ komunikacijos instituto atliktas tyrimas „Zyxel“ kartu su „AsusTek Computer Inc.“, „Netgear Inc.“, „D-Link Corp.“, „Linksys“, „TP-Link Technologies Co. Ltd.“ ir „AVM Computersysteme Vertriebs GmbH“ įvardijo kaip turinčius saugumo laipsnį. .
Pasak bendrovės „Zyxel“ atstovų, užpakalinės durys nebuvo piktavališkos veiklos pasekmė iš trečiųjų šalių užpuolikų, pvzro buvo įprasta funkcija, naudojama automatiškai atsisiųsti naujinius firmware per FTP.
Reikėtų pažymėti, kad iš anksto nustatytas slaptažodis nebuvo užšifruotas ir „Eye Control“ saugumo tyrėjai tai pastebėjo ištyrę programinės aparatinės įrangos atvaizde esančius teksto fragmentus.
Vartotojų bazėje slaptažodis buvo saugomas kaip maiša ir papildoma paskyra buvo pašalinta iš vartotojų sąrašo, bet viename iš vykdomųjų failų slaptažodis buvo aiškiai parašytas. Zyxel buvo informuotas apie problemą lapkričio pabaigoje ir iš dalies ją pašalino.
Tai daro įtaką „Zyxel“ ATP (išplėstinei apsaugai nuo grėsmių), USG (vieningiems saugos vartams), „USG FLEX“ ir VPN užkardoms, taip pat prieigos taškų valdikliams „NXC2500“ ir „NXC5500“.
„Zyxel“ atkreipė dėmesį į pažeidžiamumą, oficialiai pavadintas CVE-2020-29583, patarėjas ir išleido pleistrą problemai išspręsti. Pranešime bendrovė pažymėjo, kad užšifruota vartotojo paskyra „zyfwp“ buvo sukurta automatiniams programinės aparatinės įrangos atnaujinimams pristatyti prieigos taškuose, sujungtuose per FTP.
Ugniasienių problema buvo išspręsta programinės aparatinės įrangos naujinime V4.60 Patch1 (Teigiama, kad numatytasis slaptažodis atsirado tik programinėje aparatinėje programoje V4.60 Patch0, o senesnėms programinės aparatinės įrangos versijoms ši problema neturi įtakos, tačiau senesnėse programinės įrangos programose yra kitų pažeidžiamumų, per kuriuos galima užpulti įrenginius).
Karštuosiuose taškuose Pataisymas bus įtrauktas į „V6.10 Patch1“ atnaujinimą, numatytą 2021 m. Balandžio mėn. Visiems probleminių įrenginių vartotojams rekomenduojama nedelsiant atnaujinti mikroprograminę įrangą arba uždaryti prieigą prie tinklo prievadų užkardos lygiu.
Problemą dar labiau apsunkina tai, kad VPN paslauga ir žiniatinklio sąsaja įrenginiui valdyti pagal numatytuosius nustatymus priima ryšius tame pačiame 443 tinklo prievade, todėl daugelis vartotojų 443 paliko atvirą išorinėms užklausoms ir, be VPN galinės dalies, jie paliko ir galimybė prisijungti prie žiniatinklio sąsajos.
Remiantis preliminariais vertinimais, daugiau nei 100 XNUMX įrenginių, kuriuose yra nustatyta užpakalinė duris jie yra prieinami tinkle, kad būtų galima prisijungti per 443 tinklo prievadą.
Paveiktų „Zyxel“ įrenginių vartotojams patariama įdiegti atitinkamus programinės aparatinės įrangos naujinimus, kad būtų užtikrinta optimali apsauga.
Fuente: https://www.eyecontrol.nl