Acum cateva ziles-a dezvăluit detectarea unei vulnerabilități securitate serioasă în firewall-uri, gateway-uri de rețea privată virtuală și controlere puncte de acces fabricate de Zyxel Communications Corp.
Se detaliază că luna trecută, cercetători de securitate din firma olandeză de securitate cibernetică Eye Control a documentat cazul și menționează că vulnerabilitatea afectează peste 100.000 de dispozitive fabricate de companie.
Vulnerabilitate implică faptul că dispozitivele au un backdoor la nivel administrativ codificat care poate acorda atacatorilor acces root la dispozitive cu SSH sau un panou de administrare web.
Având în vedere numele de utilizator și parola criptate, hackerii pot avea acces la rețele utilizând dispozitive Zyxel.
„Cineva ar putea, de exemplu, să modifice setările firewall-ului pentru a permite sau a bloca anumite traficuri”, spune cercetătorul în domeniul controlului ochilor, Niels Teusink. „De asemenea, ar putea intercepta traficul sau pot crea conturi VPN pentru a avea acces la rețeaua din spatele dispozitivului.”
Vulnerabilitatea este înăuntru lor dispozitive de serie ATP, USG, USG Flex, VPN și NXC de la Zyxel.
Deși nu este un nume de uz casnic, Zyxel este o companie din Taiwan care produce dispozitive de rețea utilizate în principal de întreprinderi mici și mijlocii.
De fapt, compania are o listă surprinzător de remarcabilă de noi caracteristici: a fost prima companie din lume care a proiectat un modem analog / digital ISDN, prima cu un gateway ADSL2 + și prima care a oferit un firewall personal portabil de dimensiunea palma mâinii, printre alte realizări.
Sin embargo, aceasta nu este prima dată când sunt descoperite vulnerabilități pe dispozitivele Zyxel. Un studiu al Institutului de Comunicare Fraunhofer din iulie a numit Zyxel împreună cu AsusTek Computer Inc., Netgear Inc., D-Link Corp., Linksys, TP-Link Technologies Co. Ltd. și AVM Computersysteme Vertriebs GmbH ca având un grad de securitate probleme.
Potrivit reprezentanților companiei Zyxel, ușa din spate nu a fost o consecință a activității rău intenționate de la atacatori terți, de exro era o funcție obișnuită folosită pentru descărcarea automată a actualizărilor firmware prin FTP.
Trebuie remarcat faptul că parola predefinită nu a fost criptată iar cercetătorii în domeniul controlului ochilor au observat-o examinând fragmentele de text găsite în imaginea firmware-ului.
În baza de utilizatori, parola a fost stocată ca hash și contul suplimentar a fost exclus din lista de utilizatori, dar unul dintre fișierele executabile conținea parola în text clar Zyxel a fost informat despre problemă la sfârșitul lunii noiembrie și a remediat-o parțial.
ATP-urile Zyxel (Advanced Threat Protection), USG (Unified Security Gateway), USG FLEX și firewall-urile VPN, precum și controlerele punctelor de acces NXC2500 și NXC5500 sunt afectate.
Zyxel a abordat vulnerabilitatea, denumit oficial CVE-2020-29583, într-un aviz și a lansat un patch pentru a remedia problema. În aviz, compania a menționat că contul de utilizator criptat „zyfwp” a fost conceput pentru a furniza actualizări automate de firmware către punctele de acces conectate prin FTP.
Problemă firewall remediată în actualizarea firmware-ului V4.60 Patch1 (Se susține că parola implicită a apărut numai în firmware-ul V4.60 Patch0, iar versiunile de firmware mai vechi nu sunt afectate de problemă, dar există alte vulnerabilități în firmware-ul mai vechi prin care dispozitivele pot fi atacate ).
În punctele fierbinți, Remedierea va fi inclusă în actualizarea V6.10 Patch1 programată pentru aprilie 2021. Toți utilizatorii de dispozitive cu probleme sunt sfătuiți să actualizeze imediat firmware-ul sau să închidă accesul la porturile de rețea la nivel de firewall.
Problema este agravată de faptul că serviciul VPN și interfața web pentru gestionarea dispozitivului implicit acceptă conexiuni pe același port de rețea 443, motiv pentru care mulți utilizatori au lăsat 443 deschis pentru solicitări externe și astfel în plus față de punctul final VPN, au părăsit și posibilitatea de a se conecta la interfața web.
Conform estimărilor preliminare, mai mult de 100 de dispozitive care conțin ușa din spate identificată sunt disponibile în rețea pentru a se conecta prin portul de rețea 443.
Utilizatorii dispozitivelor Zyxel afectate sunt sfătuiți să instaleze actualizările de firmware corespunzătoare pentru o protecție optimă.
Fuente: https://www.eyecontrol.nl