Ilang araw na ang nakakalipasAng pagtuklas ng isang kahinaan ay isiwalat seryosong seguridad sa mga firewall, mga virtual gateway ng pribadong network at mga control point ng access point na ginawa ng Zyxel Communication Corp.
Detalyado ito noong nakaraang buwan, mga mananaliksik sa seguridad ang firm ng cybersecurity ng Dutch Ang Eye Control ang nagdokumento ng kaso at binabanggit nila na ang kahinaan ay nakakaapekto sa higit sa 100.000 mga aparato na gawa ng kumpanya.
Kakayahang mangyari nagpapahiwatig na ang mga aparato ay may isang hard-code na back-level ng admin-level na maaaring magbigay ng mga pag-atake ng root access sa mga aparato na may SSH o isang web admin panel.
Dahil sa naka-encrypt na username at password, ang mga hacker ay maaaring makakuha ng access sa mga network na gumagamit ng mga Zyxel device.
"Maaaring may isang tao, halimbawa, baguhin ang mga setting ng firewall upang payagan o harangan ang ilang partikular na trapiko," sabi ng mananaliksik ng Eye Control na si Niels Teusink. "Maaari rin nilang hadlangan ang trapiko o lumikha ng mga VPN account upang makakuha ng access sa network sa likod ng aparato."
Ang kahinaan ay nasa ang serye aparato ATP, USG, USG Flex, VPN at NXC mula sa Zyxel.
Habang hindi isang pangalan ng sambahayan, ang Zyxel ay isang kumpanya na nakabase sa Taiwan na gumagawa ng mga aparato sa network na pangunahing ginagamit ng mga maliliit at katamtamang laking negosyo.
Sa katunayan, ang kumpanya ay may nakakagulat na kapansin-pansin na listahan ng mga bagong tampok: ito ang unang kumpanya sa mundo na nagdisenyo ng isang analog / digital ISDN modem, ang una na may isang ADSL2 + gateway, at ang unang nag-aalok ng isang portable personal firewall na laki ng palad, bukod sa iba pang mga nakamit.
Gayunpaman, hindi ito ang unang pagkakataon na ang mga kahinaan ay natagpuan sa mga Zyxel device. Isang pag-aaral ng Fraunhofer Institute for Communication noong Hulyo na pinangalanang Zyxel kasama ang AsusTek Computer Inc., Netgear Inc., D-Link Corp., Linksys, TP-Link Technologies Co. Ltd. at AVM Computersysteme Vertriebs GmbH bilang pagkakaroon ng ranggo sa seguridad mga isyu.
Ayon sa mga kinatawan ng kumpanya na Zyxel, ang backdoor ay hindi isang bunga ng nakakahamak na aktibidad mula sa mga third-party na umaatake, halAng ro ay isang regular na pagpapaandar na ginamit upang awtomatikong mag-download ng mga update firmware sa pamamagitan ng FTP.
Dapat pansinin na ang paunang natukoy na password ay hindi naka-encrypt at napansin ito ng mga mananaliksik sa seguridad ng Eye Control sa pamamagitan ng pagsusuri sa mga snippet ng teksto na matatagpuan sa imahe ng firmware.
Sa base ng gumagamit, ang password ay naka-imbak bilang isang hash at ang karagdagang account ay naibukod mula sa listahan ng gumagamit, ngunit ang isa sa maipapatupad na mga file na naglalaman ng password sa malinaw na teksto Zyxel ay alam ng problema sa huli ng Nobyembre at bahagyang naayos ito.
Ang ATP (Advanced Threat Protection) ni Zyxel, USG (Pinag-isang Security Gateway), USG FLEX at mga firewall ng VPN, pati na rin ang NXC2500 at NXC5500 access point Controller ay apektado.
Tinugunan ni Zyxel ang kahinaan, pormal na pinangalanan CVE-2020-29583, sa isang payo at naglabas ng isang patch upang ayusin ang problema. Sa abiso, sinabi ng kumpanya na ang naka-encrypt na account ng gumagamit na "zyfwp" ay idinisenyo upang maihatid ang mga awtomatikong pag-update ng firmware upang ma-access ang mga puntong na konektado sa pamamagitan ng FTP.
Naayos ang isyu ng Firewall sa pag-update ng firmware na V4.60 Patch1 (Inaangkin na ang default na password ay lumitaw lamang sa firmware V4.60 Patch0, at ang mga mas lumang bersyon ng firmware ay hindi apektado ng problema, ngunit may iba pang mga kahinaan sa mas lumang firmware kung saan maaaring atakehin ang mga aparato ).
Sa mga hotspot, Ang pag-aayos ay isasama sa pag-update ng V6.10 Patch1 na naka-iskedyul sa Abril 2021. Pinapayuhan ang lahat ng mga gumagamit ng mga problemang aparato na agad na i-update ang firmware o isara ang pag-access sa mga port ng network sa antas ng firewall.
Ang problema ay pinalala ng katotohanan na ang serbisyo ng VPN at ang web interface para sa pamamahala ng aparato sa pamamagitan ng default na tanggapin ang mga koneksyon sa parehong network port 443, kaya't maraming mga gumagamit ang umalis sa 443 bukas para sa mga panlabas na kahilingan at sa gayon Bilang karagdagan sa endpoint ng VPN, umalis sila at may kakayahang mag-log in sa web interface.
Ayon sa paunang pagtatantya, higit sa 100 mga aparato na naglalaman ng natukoy na backdoor magagamit ang mga ito sa network upang kumonekta sa pamamagitan ng network port 443.
Pinayuhan ang mga gumagamit ng apektadong Zyxel na aparato na mag-install ng naaangkop na mga pag-update ng firmware para sa pinakamainam na proteksyon.
Fuente: https://www.eyecontrol.nl