Πάνω από 100.000 Zyxel firewalls, VPN gateways και access point controllers περιέχουν ένα hardcoded backdoor account σε επίπεδο διαχειριστή που μπορεί να δώσει στους επιτιθέμενους root πρόσβαση σε συσκευές, μέσω SSH interface ή του πίνακα διαχείρισης web.
Το backdoor account ανακαλύφθηκε από Ολλανδούς ερευνητές της Eye Control.
Οι κάτοχοι των ευάλωτων συσκευών πρέπει να ενημερώσουν τα συστήματά τους το συντομότερο δυνατό.
Σύμφωνα με τους ερευνητές, το backdoor account στα Zyxel firewalls και VPN gateways θα μπορούσε να χρησιμοποιηθεί από χειριστές DDoS botnet, από ransomware συμμορίες και άλλες κρατικές hacking ομάδες για την απόκτηση πρόσβασης σε ευάλωτες συσκευές και την εισχώρηση σε εσωτερικά δίκτυα για επιπλέον παραβιάσεις και επιθέσεις.
Τα επηρεαζόμενα μοντέλα περιλαμβάνουν πολλά από τα κορυφαία εταιρικά προϊόντα της Zyxel, που συνήθως χρησιμοποιούνται σε ιδιωτικά εταιρικά και κυβερνητικά δίκτυα.
Οι σειρές προϊόντων της Zyxel που επηρεάζονται, είναι:
- η σειρά Advanced Threat Protection (ATP) – χρησιμοποιείται κυρίως ως firewall
- η σειρά Unified Security Gateway (USG) – χρησιμοποιείται ως υβριδικό firewall και VPN gateway
- η σειρά USG FLEX – χρησιμοποιείται ως υβριδικό firewall και VPN gateway
- η σειρά VPN – χρησιμοποιείται ως VPN gateway
- η σειρά NXC – χρησιμοποιείται ως WLAN access point controller
Αν παραβιαστούν αυτές οι συσκευές, μπορούν να επιτρέψουν στους επιτιθέμενους να εισχωρήσουν στα εσωτερικά δίκτυα και να πραγματοποιήσουν περισσότερες επιθέσεις.
Προς το παρόν, υπάρχουν patches μόνο για τις σειρές ATP, USG, USG Flex και VPN. Σύμφωνα με τη Zyxel, οι ενημερώσεις για τη σειρά NXC αναμένονται τον Απρίλιο του 2021.
Οι ερευνητές ανακάλυψαν εύκολα το backdoor account
Οι ερευνητές ασφαλείας ανακάλυψαν εύκολα το backdoor account, το οποίο λένε ότι χρησιμοποιεί το όνομα χρήστη “zyfwp” και τον κωδικό πρόσβασης “PrOw! AN_fXp“. Η εγκατάσταση του patch μπορεί να αφαιρέσει το backdoor account από τη συσκευή.
“Ο κωδικός πρόσβασης σε απλό κείμενο ήταν ορατός σε ένα από τα binaries του συστήματος“, ανέφεραν οι Ολλανδοί ερευνητές.
Το backdoor account είχε root πρόσβαση στη συσκευή επειδή χρησιμοποιούνταν για την εγκατάσταση ενημερώσεων firmware σε άλλες διασυνδεδεμένες συσκευές Zyxel μέσω FTP.
Αντίστοιχο περιστατικό με backdoor είχε συμβεί και το 2016
Ο ερευνητής ασφαλείας IoT, Ankit Anubhav, είπε στο ZDNet ότι η Zyxel θα έπρεπε να είχε πάρει το μάθημά της από ένα προηγούμενο περιστατικό που είχε λάβει χώρα το 2016.
Οι συσκευές Zyxel που κυκλοφόρησαν εκείνη την περίοδο, περιείχαν έναν μυστικό μηχανισμό backdoor που επέτρεπε σε οποιονδήποτε να αναβαθμίσει έναν λογαριασμό σε επίπεδο διαχειριστή (σε μια συσκευή Zyxel) χρησιμοποιώντας τον κωδικό πρόσβασης “zyad5001” SU (super-user).
“Είναι εκπληκτικό το γεγονός ότι βλέπουμε κι άλλο hardcoded credential, δεδομένου ότι η Zyxel γνωρίζει καλά ότι την τελευταία φορά που συνέβη αυτό, χρησιμοποιήθηκε από πολλά botnets“, δήλωσε ο Anubhav στο ZDNet.
Ωστόσο, αυτή τη φορά με το CVE-2020-29583 (το όνομα του νέου backdoor account), τα πράγματα είναι χειρότερα, καθώς μπορεί να δώσει στους εισβολείς άμεση πρόσβαση στη συσκευή. Επιπλέον, επηρεάζεται μια ποικιλία συσκευών, σε αντίθεση με το backdoor του 2016 που επηρέασε μόνο οικιακά routers.
Οι επιτιθέμενοι μπορούν τώρα να στοχεύσουν περισσότερα θύματα, τα περισσότερα από τα οποία είναι εταιρείες, αφού οι ευάλωτες συσκευές διατίθενται κυρίως σε επιχειρήσεις ως τρόπος ελέγχου των ατόμων που έχουν πρόσβαση σε intranets και εσωτερικά δίκτυα από απομακρυσμένες τοποθεσίες.
Προετοιμασία για ransomware επίθεση και κατασκοπεία;
Συχνά, οι ευπάθειες σε firewalls και VPN gateways χρησιμοποιούνται για ransomware επιθέσεις και εκστρατείες κατασκοπείας.
Ευπάθειες σε συσκευές Pulse Secure, Fortinet, Citrix, MobileIron και Cisco έχουν χρησιμοποιηθεί για επιθέσεις σε εταιρείες και κυβερνητικά δίκτυα.
Το νέο Zyxel backdoor account θα μπορούσε, επίσης, να χρησιμοποιηθεί για τέτοιου είδους επιθέσεις.
Πηγή: ZDNet