Zyxel tīkla ierīcēs tika atklāta ievainojamība

Pirms dažām dienāms tika atklāta ievainojamības atklāšana nopietna drošība ugunsmūros, virtuālā privātā tīkla vārtejas un piekļuves punktu kontrolieri, ko ražo Zyxel Communications Corp.

Ir sīki aprakstīts, ka pagājušajā mēnesī drošības pētnieki no Nīderlandes kiberdrošības firma Acu kontrole dokumentēja lietu un viņi min, ka ievainojamība ietekmē vairāk nekā 100.000 XNUMX uzņēmuma ražotās ierīces.

Neaizsargātība tas nozīmē, ka ierīcēm ir stingri kodēts administratīvā līmeņa aizmugurējais durvis kas uzbrucējiem var piešķirt root piekļuvi ierīcēm ar SSH vai tīmekļa administratora paneli.

Ņemot vērā šifrēto lietotājvārdu un paroli, hakeri var piekļūt tīkliem, izmantojot Zyxel ierīces.

"Kāds varētu, piemēram, mainīt ugunsmūra iestatījumus, lai atļautu vai bloķētu noteiktu trafiku," saka Acu kontroles pētnieks Nīls Teusinks. "Viņi varētu arī pārtvert trafiku vai izveidot VPN kontus, lai piekļūtu tīklam aiz ierīces."

Ievainojamība ir viņiem sērijas ierīces ATP, USG, USG Flex, VPN un NXC no Zyxel.

Lai gan tas nav mājsaimniecības nosaukums, Zyxel ir Taivānā dibināts uzņēmums, kas ražo tīkla ierīces, kuras galvenokārt izmanto mazie un vidējie uzņēmumi.

Patiesībā uzņēmumam ir pārsteidzoši ievērojams jauno funkciju saraksts: Tas bija pirmais uzņēmums pasaulē, kurš izstrādāja analogo / digitālo ISDN modemu, pirmais ar ADSL2 + vārteju un pirmais, kurš piedāvāja portatīvo personālo ugunsmūri izmērā starp citiem sasniegumiem.

Tomēr, šī nav pirmā reize, kad Zyxel ierīcēs tiek atklātas ievainojamības. Fraunhofera komunikācijas institūta jūlijā veiktais pētījums nosauca Zyxel ar AsusTek Computer Inc., Netgear Inc., D-Link Corp., Linksys, TP-Link Technologies Co. Ltd. un AVM Computersysteme Vertriebs GmbH kā drošības pakāpes jautājumiem. .

Pēc uzņēmuma Zyxel pārstāvju domām, aizmugures durvis nebija ļaunprātīgas darbības sekas no trešo pušu uzbrucējiem, piemro bija regulāra funkcija, ko izmantoja, lai automātiski lejupielādētu atjauninājumus programmaparatūru, izmantojot FTP.

Jāatzīmē, ka iepriekš noteiktā parole netika šifrēta un acu kontroles drošības pētnieki to pamanīja, pārbaudot programmaparatūras attēlā atrastos teksta fragmentus.

Lietotāju bāzē parole tika saglabāta kā hash un papildu konts tika izslēgts no lietotāju saraksta, bet vienā no izpildāmajiem failiem parole bija skaidrā tekstā. Zyxel tika informēts par problēmu novembra beigās un daļēji to novērsa.

Tiek ietekmēti Zyxel ATP (uzlabotā draudu aizsardzība), USG (vienotā drošības vārteja), USG FLEX un VPN ugunsmūri, kā arī NXC2500 un NXC5500 piekļuves punktu kontrolleri.

Zyxel ir novērsis ievainojamību, oficiāli nosaukts CVE-2020-29583, konsultatīvā veidā un ir izlaidis plāksteri problēmas novēršanai. Paziņojumā uzņēmums atzīmēja, ka šifrētais lietotāja konts "zyfwp" bija paredzēts automātisku programmaparatūras atjauninājumu piegādei piekļuves punktiem, kas savienoti, izmantojot FTP.

Ugunsmūra problēma tika novērsta programmaparatūras atjauninājumā V4.60 Patch1 (Tiek apgalvots, ka noklusējuma parole parādījās tikai programmaparatūrā V4.60 Patch0, un vecākas programmaparatūras versijas problēma neietekmē, taču vecākajās programmaparatūrā ir arī citas ievainojamības, caur kurām ierīcēm var uzbrukt).

Karstajos punktos Labojums tiks iekļauts V6.10 Patch1 atjauninājumā, kas paredzēts 2021. gada aprīlī. Visiem problemātisko ierīču lietotājiem ieteicams nekavējoties atjaunināt programmaparatūru vai aizvērt piekļuvi tīkla ostām ugunsmūra līmenī.

Problēmu pastiprina fakts, ka VPN pakalpojums un tīmekļa saskarne ierīces pārvaldībai pēc noklusējuma pieņem savienojumus tajā pašā tīkla portā 443, tāpēc daudzi lietotāji atstāja 443 atvērtu ārējiem pieprasījumiem un tādējādi papildus VPN galapunktam. viņi aizgāja, un iespēja pieteikties tīmekļa saskarnē.

Saskaņā ar provizoriskām aplēsēm vairāk nekā 100 XNUMX ierīču, kas satur identificēto aizmugurējo durvju tie ir pieejami tīklā, lai izveidotu savienojumu, izmantojot tīkla 443. portu.

Ietekmēto Zyxel ierīču lietotājiem optimālai aizsardzībai ieteicams instalēt atbilstošus programmaparatūras atjauninājumus.

Fuente: https://www.eyecontrol.nl


Raksta saturs atbilst mūsu principiem redakcijas ētika. Lai ziņotu par kļūdu, noklikšķiniet uz šeit.

Esi pirmais, kas komentārus

Atstājiet savu komentāru

Jūsu e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti ar *

*

*

  1. Atbildīgais par datiem: Migels Ángels Gatóns
  2. Datu mērķis: SPAM kontrole, komentāru pārvaldība.
  3. Legitimācija: jūsu piekrišana
  4. Datu paziņošana: Dati netiks paziņoti trešām personām, izņemot juridiskus pienākumus.
  5. Datu glabāšana: datu bāze, ko mitina Occentus Networks (ES)
  6. Tiesības: jebkurā laikā varat ierobežot, atjaunot un dzēst savu informāciju.