Cyberteam

  • Home
  • Attività
    • Network Security Assessment
    • Password Hacking
      • Password Intelligence
      • Password Security Management
      • Multi-Factor Authentication
    • Cyber Intelligence
    • Vulnerability Assessment
    • NIS 2
    • Penetration Testing
    • Spear Phishing
    • Academy
    • Database Health Check
    • Legal 4 Tech
      • Legal 4 Tech
      • AGID/GDPR
    • Digital Forensics
  • Ethical Hacker
    • chi sono
    • Lavora con noi
  • CT per il sociale
  • Contatti
  • CyberNews

Zyxel Backdoor segreta scoperta
nei firewall e nei controller AP

Zyxel Backdoor segreta scoperta
nei firewall e nei controller AP

by Maurizio / lunedì, 04 Gennaio 2021 / Published in Cyber Security, Password
ZyXEL-backdoor

Zyxel backdoor: Oltre 100.000 dispositivi Zyxel sono potenzialmente vulnerabili a una backdoor segreta causata da credenziali hardcoded utilizzate per aggiornare il firewall e il firmware dei controller AP.

Niels Teusink della società olandese di sicurezza informatica EYE ha scoperto un account amministrativo segreto con hardcoded nell’ultima patch 0 del firmware 4.60 per alcuni dispositivi Zyxel.

$ ssh [email protected]
Password: Pr ******* Xp
Router> show users current
No: 1
  Name: zyfwp
  Type: admin
(...)
Router>

Questo account non viene visualizzato nell’interfaccia utente di Zyxel e ha un nome di accesso “zyfwp” e una password statica in testo semplice. A causa della gravità di questa vulnerabilità, si è deciso di non pubblicare la password.

Teusink ha scoperto che l’account potrebbe essere utilizzato per accedere a dispositivi vulnerabili sia via SSH che sull’interfaccia web. Poiché l’interfaccia SSL VPN opera sulla stessa porta dell’interfaccia web, Teusink ha scoperto che molti utenti hanno consentito l’accesso alla porta 443 via Internet.

“Poiché SSL VPN su questi dispositivi opera sulla stessa porta dell’interfaccia web, molti utenti hanno esposto la porta 443 di questi dispositivi su Internet. Utilizzando i dati disponibili pubblicamente da Project Sonar, sono stato in grado di identificare circa 3.000 Zyxel USG / Dispositivi ATP / VPN nei Paesi Bassi. In tutto il mondo, più di 100.000 dispositivi hanno esposto la loro interfaccia web a Internet “, ha riferito Teusink.

Le vulnerabilità dei dispositivi VPN sono estremamente pericolose in quanto possono essere utilizzate per creare nuovi account VPN per ottenere l’accesso a una rete interna o creare regole di port forwarding per rendere i servizi interni accessibili pubblicamente.

“Qualcuno potrebbe, ad esempio, modificare le impostazioni del firewall per consentire o bloccare un determinato traffico. Potrebbe anche intercettare il traffico o creare account VPN per ottenere l’accesso alla rete dietro il dispositivo. Combinato con una vulnerabilità come Zerologon, questo potrebbe essere devastante per le piccole e medie imprese” ha avvertito Teusink.

Questi tipi di vulnerabilità sono diventati i preferiti tra gli attaccanti, che sono noti per sfruttare le vulnerabilità VPN Pulse Secure, Fortinet e Citrix Netscaler per distribuire ransomware o compromettere le reti aziendali interne per rubare dati.

Gli amministratori dei dispositivi interessati dovrebbero aggiornare i propri dispositivi al firmware più recente il prima possibile.

zyxel backdoor

Zyxel rilascia un nuovo firmware per i firewall

In un avviso, Zyxel ha ringraziato gli EYE per la loro divulgazione e ha dichiarato di aver utilizzato le credenziali codificate per fornire aggiornamenti automatici del firmware tramite FTP.

“Una vulnerabilità delle credenziali hardcoded è stata identificata nell’account utente” zyfwp “in alcuni firewall Zyxel e controller AP. L’account è stato progettato per fornire aggiornamenti automatici del firmware ai punti di accesso connessi tramite FTP”, afferma Zyxel.

Zyxel ha rilasciato la patch ZLD V4.60 Patch 1 per rimuovere le credenziali hardcoded nei dispositivi vulnerabili ATP, USG, USG Flex e VPN. Zyxel afferma che i firewall ATP, USG, USG FLEX e VPN che utilizzano firmware o SD-OS precedenti non sono interessati.

La patch per i controller AP NXC dovrebbe essere rilasciata nell’aprile 2021.

Di seguito è riportata la tabella dei prodotti Zyxel interessati e la disponibilità delle patch.

Serie Prodotti Interessati Patch disponibile dal
Firewalls
ATP series running firmware ZLD V4.60 ZLD V4.60 Patch1 in Dic. 2020
USG series running firmware ZLD V4.60 ZLD V4.60 Patch1 in Dic. 2020
USG FLEX series running firmware ZLD V4.60 ZLD V4.60 Patch1 in Dic. 2020
VPN series running firmware ZLD V4.60 ZLD V4.60 Patch1 in Dic. 2020
AP controllers
NXC2500 V6.10 Patch1 nel Aprile 2021
NXC5500 V6.10 Patch1 nel Aprile 2021

Ora si apre una fase delicatissima, in cui tutte le aziende e gli enti che utilizzano uno dei prodotti compresi nell’elenco dovranno correre quanto prima ai ripari per aggiornare il firmware e “tappare” la backdoor.

Considerato che siamo nel mezzo delle feste natalizie, però, viene difficile immaginare un momento peggiore per ritrovarsi a gestire una situazione che potrebbe trasformarsi in una vera e propria emergenza.

Come se non bastasse, poi, gli aggiornamenti per i controller AP Zyxel (NXC2500 e NXC5500) non sono ancora disponibili e verranno rilasciati solo il prossimo 8 gennaio.

Maurizio

Maestro del Caos Digitale e Guardiano del Cyberspazio, naviga nel mare oscuro della sicurezza informatica da oltre vent’anni, armato di codice e un irresistibile papillon.
Con la precisione di un bisturi e l’umorismo di un hacker, ha trasformato centinaia di “comuni mortali IT” in veri e propri ninja dell’Ethical Hacking. La sua missione? Insegnare l’arte della difesa digitale a migliaia di ignare risorse aziendali, un firewall alla volta.
Tre segreti che lo rendono un unicorno nel mondo cyber:

Ha una relazione quasi ossessiva con le password. Alcuni collezionano francobolli, lui colleziona hash crittografici.
Il suo gatto si chiama Hash. Sì, come l’algoritmo. No, non miagola in binario (ancora).
Indossa sempre un papillon, perché chi ha detto che non si può hackerare con stile?

Se lo cercate, seguite la scia di bit verdi: è il suo colore preferito. Perché anche nel mondo digitale, è sempre primavera per la sicurezza!

Condividi
Tagged under: Backdoor, Credentials, Firewall, VPN, Vulnerability, Zyxel

What you can read next

zero-day
Un hacker offre un milione di dollari
in un popolare forum per acquistare un exploit zero-day
T-Mobile data breach:
esposti i numeri di telefono
Condividere responsabilmente
I Dieci Cyber Comandamenti

Categorie

  • AI
  • Analisi Tecnica
  • Attività
  • Cyber Security
  • Dark Web
  • Data Leak
  • GDPR
  • HACKER
  • Industria 4.0
  • IOT
  • MongoDB
  • Password
  • Ransomware
  • Smartworking
  • Vulnerabilità

Recent Posts

  • La Grande Truffa delle Email:
    Quando i Router Diventano Complici

    Ricercatori di sicurezza di Infoblox hanno rece...
  • Microsoft MFA Down:
    Quando la Sicurezza Va in Vacanza

    Microsoft ha avvisato gli utenti di un problema...
  • La paranoia
    è la vera sicurezza

    Siamo all’ultimo articolo di questo spettacolo ...
  • Phishing 2.0:
    come aggirare il 2FA con un sorriso

    Cyberteam vi descrive come il vostro adorato 2F...
  • 2FA:
    Il falso senso di sicurezza

    Oggi parleremo del 2FA, o come mi piace chiamar...
  • GET SOCIAL

© 2024.Tutti i diritti riservati. EURO INFORMATICA SPA - Viale della Repubblica 63/4, 36066 Sandrigo (VI)
P. IVA/CF 02367910243 - Cap Soc. 100.000 Euro i.v. - REA 0226275 - VI - Reg. Imp. 30100-VI-116

PRIVACY POLICY - COOKIE POLICY - DICHIARAZIONE DI ACCESSIBILITA'

TOP
  • Sei sotto attacco?