Top.Mail.Ru
Видеонаблюдение
СКУД
СКС
Телефония
IT Аутсорсинг 
АТТ

Встроенный бэкдор был обнаружен более чем в 100 000 межсетевых экранов и VPN-шлюзов Zyxel

Понедельник, 04 января 2021 16:55

В устройствах присутствует жестко встроенная учетная запись zyfwp с неизменяемым паролем. Удаленный злоумышленник, не прошедший проверку подлинности, может получить доступ к уязвимой системе через ssh или веб-интерфейс, используя жестко заданные учетные данные, а также получить привилегии администратора. Уязвимость имеет максимальную степень опасности - 10 баллов по шкале CVSS.

$ ssh Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.
 Password: PrOw!aN_fXp
 Router> show users current
 No: 1
 Name: zyfwp
 Type: admin
 (...)
 Router>
 

По словам представителя Zyxel, учетная запись не связана с какой-либо злонамеренной активностью, а использовалась только для доставки автоматических обновлений прошивки через FTP. Zyxel рекомендует немедленно установить соответствующие обновления. Уязвимости подвержено множество популярных продуктов Zyxel из линейки устройств бизнес-класса, обычно развертываемых в частных корпоративных и государственных сетях. Сюда входят следующие устройства:

  • серия Advanced Threat Protection (ATP) - используется в основном в качестве межсетевого экрана
  • серия Unified Security Gateway (USG) - используется как гибридный межсетевой экран и VPN-шлюз
  • серия USG FLEX - используется как гибридный межсетевой экран и VPN-шлюз
  • серия VPN - используется в качестве VPN шлюза
  • серия NXC - используется в качестве WLAN контроллера точки доступа

Компания Zyxel была проинформирована о проблеме в конце ноября и частично устранила уязвимость 18 декабря. Уязвимость устранена в прошивке ZLD V4.60 Patch1, а для контроллеров точки доступа NXC2500 и NXC5500 исправление будет выпущено в апреле 2021 года.

Эксперты по безопасности предупреждают, что любой злоумышленник, начиная от операторов DDoS ботнетов и заканчивая спонсируемыми государством хакерскими группами и бандами вымогателей, может использовать эту встроенную учетную запись для доступа к уязвимым устройствам и дальнейшему проникновению во внутренние сети. Проблему усугубляет то, что VPN служба и веб-интерфейс для управления устройством по умолчанию используют 443 порт, из-за чего многие пользователи оставляли открытым 443 порт для внешних запросов и, таким образом, кроме точки подключения к VPN, оставляли и возможность входа в веб-интерфейс. По предварительной оценке в сети доступно более 100 тысяч уязвимых устройств с открытым 443 портом.

В прошлом году компания Zyxel исправила в своих сетевых хранилищах (NAS) критическую уязвимость, уже эксплуатируемую киберпреступниками в реальных атаках. Уязвимость CVE-2020-9054 позволяла неавторизованному злоумышленнику удаленно выполнить произвольный код. Благодаря этому атакующий может проэксплуатировать уязвимость, включив в имя пользователя определенные символы, и внедрять команды с привилегиями web-сервера. Затем с помощью встроенной в устройство утилиты setuid он может запускать команды с привилегиями суперпользователя.

Источник: https://www.securitylab.ru/news/515201.php


Прочитано 668 раз

© 2007-2022 ООО "Центр Информационных Технологий"

Для того, чтобы мы могли качественно предоставить Вам услуги, мы используем cookies, которые сохраняются на Вашем компьютере. Нажимая СОГЛАСЕН, Вы подтверждаете то, что Вы проинформированы об использовании cookies на нашем сайте. Отключить cookies Вы можете в настройках своего браузера.
Согласен
Мы – ЗАЧЕСТНЫЙБИЗНЕС
Яндекс.Метрика