Top.Mail.Ru
Видеонаблюдение
СКУД
СКС
Телефония
IT Аутсорсинг 
АТТ

В устройствах присутствует жестко встроенная учетная запись zyfwp с неизменяемым паролем. Удаленный злоумышленник, не прошедший проверку подлинности, может получить доступ к уязвимой системе через ssh или веб-интерфейс, используя жестко заданные учетные данные, а также получить привилегии администратора. Уязвимость имеет максимальную степень опасности - 10 баллов по шкале CVSS.

$ ssh Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.
 Password: PrOw!aN_fXp
 Router> show users current
 No: 1
 Name: zyfwp
 Type: admin
 (...)
 Router>
 

По словам представителя Zyxel, учетная запись не связана с какой-либо злонамеренной активностью, а использовалась только для доставки автоматических обновлений прошивки через FTP. Zyxel рекомендует немедленно установить соответствующие обновления. Уязвимости подвержено множество популярных продуктов Zyxel из линейки устройств бизнес-класса, обычно развертываемых в частных корпоративных и государственных сетях. Сюда входят следующие устройства:

  • серия Advanced Threat Protection (ATP) - используется в основном в качестве межсетевого экрана
  • серия Unified Security Gateway (USG) - используется как гибридный межсетевой экран и VPN-шлюз
  • серия USG FLEX - используется как гибридный межсетевой экран и VPN-шлюз
  • серия VPN - используется в качестве VPN шлюза
  • серия NXC - используется в качестве WLAN контроллера точки доступа

Компания Zyxel была проинформирована о проблеме в конце ноября и частично устранила уязвимость 18 декабря. Уязвимость устранена в прошивке ZLD V4.60 Patch1, а для контроллеров точки доступа NXC2500 и NXC5500 исправление будет выпущено в апреле 2021 года.

Эксперты по безопасности предупреждают, что любой злоумышленник, начиная от операторов DDoS ботнетов и заканчивая спонсируемыми государством хакерскими группами и бандами вымогателей, может использовать эту встроенную учетную запись для доступа к уязвимым устройствам и дальнейшему проникновению во внутренние сети. Проблему усугубляет то, что VPN служба и веб-интерфейс для управления устройством по умолчанию используют 443 порт, из-за чего многие пользователи оставляли открытым 443 порт для внешних запросов и, таким образом, кроме точки подключения к VPN, оставляли и возможность входа в веб-интерфейс. По предварительной оценке в сети доступно более 100 тысяч уязвимых устройств с открытым 443 портом.

В прошлом году компания Zyxel исправила в своих сетевых хранилищах (NAS) критическую уязвимость, уже эксплуатируемую киберпреступниками в реальных атаках. Уязвимость CVE-2020-9054 позволяла неавторизованному злоумышленнику удаленно выполнить произвольный код. Благодаря этому атакующий может проэксплуатировать уязвимость, включив в имя пользователя определенные символы, и внедрять команды с привилегиями web-сервера. Затем с помощью встроенной в устройство утилиты setuid он может запускать команды с привилегиями суперпользователя.

Источник: https://www.securitylab.ru/news/515201.php

Исследователь безопасности Мантас Саснаускас (Mantas Sasnauskas) из Cybernews совместно с экспертами Джеймсом Кли (James Clee) и Рони Карта (Roni Carta) обнаружили подозрительные бэкдоры в недорогих маршрутизаторах от китайской компании Wavlink, обычно продаваемых на Amazon или eBay. Устройства Wavlink также содержат скрипт, который перечисляет ближайшие Wi-Fi-сети и имеет возможность подключаться к ним.

Маршрутизаторы Wavlink содержат простой графический интерфейс для своих бэкдоров, который отличается от интерфейса, представленного администраторам маршрутизаторов. Хотя на web-сайте Wavlink есть инструкции о том, как пользователи могут получить доступ к своему маршрутизатору, обнаруженный бэкдор, похоже, создан для удаленного выполнения кода.

В обычных ситуациях злоумышленнику необходим физический доступ к устройству, если он хочет перехватить контроль над маршрутизатором. Однако проанализированные устройства Wavlink содержат файл, позволяющий получить удаленный доступ к маршрутизатору. Проблема связана с отсутствием проверки на серверной части устройства, которая фиксирует только наличие активного сеанса.

Учетные данные, необходимые для доступа к устройству, проверяются в Javascript. Это означает, что при проверке элемента на определенной конечной точке пользователь может получить пароль суперпользователя и удаленный доступ к целевому компьютеру. На устройствах, не имеющих пароля в Javascript, есть незашифрованные резервные копии, которые можно загрузить без аутентификации. Они также позволят злоумышленнику получить пароли администратора.

В устройствах Wavlink в папке bin также существует скрипт с getwifi.sh, в котором перечислены все соседние подключаемые сети Wi-Fi.

Для того, чтобы понять масштабы скрытой «возможности» бэкдора, эксперты решили узнать, пытался ли какой-либо злоумышленник атаковать устройство. Они установили небольшую приманку, перехватывающую трафик маршрутизатора. Первая атака была зафиксирована с IP-адреса в Китае, в ходе которой злоумышленник пытался загрузить вредоносный файл на маршрутизатор, используя уязвимости. Файл содержал вредоносное ПО Mirai, способное подключить устройство к ботнету Mirai.

Подробнее: https://www.securitylab.ru/news/514332.php

Злоумышленники создали вредоносное ПО JMT Trader, которое является копией легитимного ПО QT Bitcoin Trader.

© 2007-2020 ООО "Центр Информационных Технологий"

Яндекс.Метрика