Kilka dni temus wykrycie luki zostało ujawnione poważne bezpieczeństwo w zaporach, bramy wirtualnych sieci prywatnych i kontrolery punktów dostępu produkowane przez Zyxel Communications Corp.
Wyszczególniono, że w zeszłym miesiącu badacze bezpieczeństwa z holenderska firma zajmująca się cyberbezpieczeństwem Eye Control udokumentował sprawę i wspominają, że luka dotyczy ponad 100.000 XNUMX urządzeń wyprodukowanych przez firmę.
Słaby punkt oznacza, że urządzenia mają zakodowane tylne drzwi na poziomie administracyjnym który może przyznać atakującym uprawnienia roota do urządzeń z SSH lub webowym panelem administracyjnym.
Biorąc pod uwagę zaszyfrowaną nazwę użytkownika i hasło, hakerzy mogą uzyskać dostęp do sieci za pomocą urządzeń Zyxel.
„Ktoś mógłby na przykład zmienić ustawienia zapory sieciowej, aby zezwolić na określony ruch lub go zablokować” - mówi Niels Teusink, badacz Eye Control. „Mogą również przechwytywać ruch lub tworzyć konta VPN, aby uzyskać dostęp do sieci znajdującej się za urządzeniem”.
Luka jest w im urządzenia seryjne ATP, USG, USG Flex, VPN i NXC firmy Zyxel.
Zyxel to firma z Tajwanu, która nie jest powszechnie znana, ale produkuje urządzenia sieciowe używane głównie przez małe i średnie firmy.
W rzeczywistości firma ma zaskakująco niezwykłą listę nowych funkcji: była pierwszą firmą na świecie, która zaprojektowała analogowo-cyfrowy modem ISDN, pierwszą z bramą ADSL2 + i pierwszą, która zaoferowała przenośną osobistą zaporę ogniową wielkości dłoni, między innymi osiągnięciami.
Jednak to nie pierwszy przypadek znalezienia luk w zabezpieczeniach urządzeń Zyxel. Badanie przeprowadzone przez Fraunhofer Institute for Communication w lipcu nazwał Zyxel wraz z AsusTek Computer Inc., Netgear Inc., D-Link Corp., Linksys, TP-Link Technologies Co. Ltd. i AVM Computersysteme Vertriebs GmbH jako posiadające rangę bezpieczeństwa zagadnienia.
Według przedstawicieli firmy Zyxel, backdoor nie był konsekwencją złośliwej aktywności od zewnętrznych napastników, npro był zwykłą funkcją używaną do automatycznego pobierania aktualizacji oprogramowanie przez FTP.
Należy zauważyć, że predefiniowane hasło nie było zaszyfrowane i badacze bezpieczeństwa Eye Control zauważyli to, badając fragmenty tekstu znalezione w obrazie oprogramowania układowego.
W bazie użytkowników hasło zostało zapisane jako hash, a dodatkowe konto zostało wykluczone z listy użytkowników, ale jeden z plików wykonywalnych zawierał hasło w postaci zwykłego tekstu. Zyxel został poinformowany o problemie pod koniec listopada i częściowo go naprawił.
Dotyczy to zapór sieciowych Zyxel ATP (Advanced Threat Protection), USG (Unified Security Gateway), USG FLEX i VPN, a także kontrolerów punktów dostępu NXC2500 i NXC5500.
Zyxel zajął się luką w zabezpieczeniach, formalnie nazwany CVE-2020-29583, w poradniku i wydał poprawkę, aby rozwiązać problem. W zawiadomieniu firma zauważyła, że zaszyfrowane konto użytkownika „zyfwp” zostało zaprojektowane w celu dostarczania automatycznych aktualizacji oprogramowania układowego do punktów dostępowych połączonych przez FTP.
Problem z zaporami sieciowymi został rozwiązany w aktualizacji oprogramowania układowego V4.60 Patch1 (Twierdzi się, że domyślne hasło pojawiło się tylko w oprogramowaniu V4.60 Patch0, a starsze wersje oprogramowania nie są dotknięte problemem, ale w starszym oprogramowaniu są inne luki, za pomocą których można atakować urządzenia ).
W hotspotach Poprawka zostanie uwzględniona w aktualizacji V6.10 Patch1 zaplanowanej na kwiecień 2021 r. Wszystkim użytkownikom urządzeń powodujących problemy zaleca się natychmiastową aktualizację oprogramowania układowego lub zamknięcie dostępu do portów sieciowych na poziomie zapory.
Problem pogłębia fakt, że usługa VPN i interfejs WWW do zarządzania urządzeniem domyślnie akceptują połączenia na tym samym porcie sieciowym 443, dlatego wielu użytkowników pozostawiło 443 otwarte dla żądań zewnętrznych, a tym samym oprócz punktu końcowego VPN opuścili i możliwość zalogowania się do interfejsu internetowego.
Według wstępnych szacunków ponad 100 XNUMX urządzeń zawierających zidentyfikowane tylne drzwi są dostępne w sieci do łączenia się przez port sieciowy 443.
Użytkownikom urządzeń Zyxel, których dotyczy problem, zaleca się zainstalowanie odpowiednich aktualizacji oprogramowania układowego w celu zapewnienia optymalnej ochrony.
źródło: https://www.eyecontrol.nl