Bagdørskonto opdaget i mere end 100.000 Zyxel-firewalls, VPN-gateways

  • Sep 05, 2023

Brugernavnet og adgangskoden (zyfwp/PrOw!aN_fXp) var synlige i en af ​​Zyxels firmware-binære filer.

zyxelatp.jpg
Billede: Zyxel

Mere end 100.000 Zyxel-firewalls, VPN-gateways og adgangspunktcontrollere indeholder et hardkodet admin-niveau bagdørskonto, der kan give angribere root-adgang til enheder via enten SSH-grænsefladen eller internettet administrationspanel.

speciel funktion

Cybersikkerhed i en IoT- og mobilverden

Teknologiverdenen har brugt så meget af de seneste to årtier på at fokusere på innovation, at sikkerhed ofte har været en eftertanke. Lær hvordan og hvorfor det endelig ændrer sig.

Læs nu

Bagdørskontoen, opdaget af et hold hollandske sikkerhedsforskere fra Eye Control, anses for at være så slem som den bliver med hensyn til sårbarheder.

Også: Bedste VPN'er

Enhedsejere rådes til at opdatere systemerne, så snart tiden tillader det.

Sikkerhedseksperter advarer om, at alle lige fra DDoS botnet-operatører til statssponsorerede hackergrupper og ransomware bander kunne misbruge denne bagdørskonto til at få adgang til sårbare enheder og pivotere til interne netværk for yderligere angreb.

Berørte moduler omfatter mange enheder af virksomhedskvalitet

De berørte modeller omfatter mange af Zyxels topprodukter fra dens serie af enheder i virksomhedskvalitet, normalt implementeret på tværs af private virksomheder og offentlige netværk.

Dette inkluderer Zyxel produktlinjer såsom:

  • serien Advanced Threat Protection (ATP) - bruges primært som firewall
  • serien Unified Security Gateway (USG) - bruges som hybrid firewall og VPN-gateway
  • USG FLEX-serien - bruges som hybrid firewall og VPN-gateway
  • VPN-serien - bruges som VPN-gateway
  • NXC-serien - bruges som WLAN-adgangspunkt-controller

Mange af disse enheder bruges på kanten af ​​en virksomheds netværk og, når de først er kompromitteret, tillader angribere at dreje og starte yderligere angreb mod interne værter.

Patches er i øjeblikket kun tilgængelige for ATP-, USG-, USG Flex- og VPN-serierne. Patches til NXC-serien forventes i april 2021, ifølge en Zyxel sikkerhedsrådgivning.

Bagdørskonto var let at opdage

Installation af patches fjerner bagdørskontoen, som ifølge Eye Control-forskere bruger "zyfwp" brugernavn og "PrOw!aN_fXp" adgangskode.

"Klartekstadgangskoden var synlig i en af ​​de binære filer på systemet," sagde de hollandske forskere i en rapport offentliggjort før juleferien 2020.

Forskere sagde, at kontoen havde root-adgang til enheden, fordi den blev brugt til at installere firmwareopdateringer til andre sammenkoblede Zyxel-enheder via FTP.

Zyxel burde have lært af bagdørshændelsen i 2016

I et interview med ZDNet denne uge, IoT-sikkerhedsforsker Ankit Anubhav sagde, at Zyxel burde have lært lektien af ​​en tidligere hændelse, der fandt sted i 2016.

Spores som CVE-2016-10401, Zyxel-enheder, der blev frigivet på det tidspunkt, indeholdt en hemmelig bagdørsmekanisme, der tillod enhver at hæve enhver konto på en Zyxel-enhed til rodniveau ved hjælp af "zyad5001" SU (superbruger) adgangskode.

"Det var overraskende at se endnu en hårdkodet legitimation, især da Zyxel godt er klar over, at sidste gang dette skete, var det misbrugt af flere botnets," fortalte Anubhav ZDNet.

"CVE-2016-10401 er stadig i arsenalet af de fleste adgangskodeangrebsbaserede IoT-botnets," sagde forskeren.

Men denne gang er tingene værre med CVE-2020-29583, CVE-id'en for 2020-bagdørskontoen.

Anubhav fortalte ZDNet at mens 2016-bagdørsmekanismen krævede, at angribere først havde adgang til en lavprivilegeret konto på en Zyxel-enhed - så de kan hæve den til rod —, 2020-bagdøren er værre, da den kan give angribere direkte adgang til enheden uden nogen særlig betingelser.

"Derudover, i modsætning til den tidligere udnyttelse, som kun blev brugt i Telnet, kræver dette endnu mindre ekspertise, da man direkte kan prøve legitimationsoplysningerne på panelet hostet på port 443," sagde Anubhav.

Ydermere påpeger Anubhav også, at de fleste af de berørte systemer også er meget varierede, sammenlignet med 2016-bagdørsproblemet, som kun påvirkede hjemmeroutere.

Angribere har nu adgang til et bredere spektrum af ofre, hvoraf de fleste er virksomhedsmål, som de sårbare enheder markedsføres primært til virksomheder som en måde at kontrollere, hvem der kan få adgang til intranet og interne netværk fra fjernbetjening placeringer.

En ny bølge af ransomware og spionage?

Dette er en stor ting i det større billede, fordi sårbarheder i firewalls og VPN-gateways har været en af ​​de primære kilder til ransomware-angreb og cyberspionageoperationer i 2019 og 2020.

Sikkerhedsfejl i Pulse Secure, Fortinet, Citrix, MobileIron og Cisco-enheder er ofte blevet udnyttet til at angribe virksomheder og offentlige netværk.

Den nye Zyxel-bagdør kan udsætte et helt nyt sæt virksomheder og statslige agenturer for den samme type angreb, som vi har set i løbet af de sidste to år.

Sikkerhed

8 vaner hos yderst sikre fjernarbejdere
Sådan finder og fjerner du spyware fra din telefon
De bedste VPN-tjenester: Hvordan sammenligner top 5?
Sådan finder du ud af, om du er involveret i et databrud – og hvad du skal gøre nu
  • 8 vaner hos yderst sikre fjernarbejdere
  • Sådan finder og fjerner du spyware fra din telefon
  • De bedste VPN-tjenester: Hvordan sammenligner top 5?
  • Sådan finder du ud af, om du er involveret i et databrud – og hvad du skal gøre nu