Zyxel backdoor: Oltre 100.000 dispositivi Zyxel sono potenzialmente vulnerabili a una backdoor segreta causata da credenziali hardcoded utilizzate per aggiornare il firewall e il firmware dei controller AP.
Niels Teusink della società olandese di sicurezza informatica EYE ha scoperto un account amministrativo segreto con hardcoded nell’ultima patch 0 del firmware 4.60 per alcuni dispositivi Zyxel.
$ ssh [email protected]
Password: Pr ******* Xp
Router> show users current
No: 1
Name: zyfwp
Type: admin
(...)
Router>
Questo account non viene visualizzato nell’interfaccia utente di Zyxel e ha un nome di accesso “zyfwp” e una password statica in testo semplice. A causa della gravità di questa vulnerabilità, si è deciso di non pubblicare la password.
Teusink ha scoperto che l’account potrebbe essere utilizzato per accedere a dispositivi vulnerabili sia via SSH che sull’interfaccia web. Poiché l’interfaccia SSL VPN opera sulla stessa porta dell’interfaccia web, Teusink ha scoperto che molti utenti hanno consentito l’accesso alla porta 443 via Internet.
“Poiché SSL VPN su questi dispositivi opera sulla stessa porta dell’interfaccia web, molti utenti hanno esposto la porta 443 di questi dispositivi su Internet. Utilizzando i dati disponibili pubblicamente da Project Sonar, sono stato in grado di identificare circa 3.000 Zyxel USG / Dispositivi ATP / VPN nei Paesi Bassi. In tutto il mondo, più di 100.000 dispositivi hanno esposto la loro interfaccia web a Internet “, ha riferito Teusink.
Le vulnerabilità dei dispositivi VPN sono estremamente pericolose in quanto possono essere utilizzate per creare nuovi account VPN per ottenere l’accesso a una rete interna o creare regole di port forwarding per rendere i servizi interni accessibili pubblicamente.
“Qualcuno potrebbe, ad esempio, modificare le impostazioni del firewall per consentire o bloccare un determinato traffico. Potrebbe anche intercettare il traffico o creare account VPN per ottenere l’accesso alla rete dietro il dispositivo. Combinato con una vulnerabilità come Zerologon, questo potrebbe essere devastante per le piccole e medie imprese” ha avvertito Teusink.
Questi tipi di vulnerabilità sono diventati i preferiti tra gli attaccanti, che sono noti per sfruttare le vulnerabilità VPN Pulse Secure, Fortinet e Citrix Netscaler per distribuire ransomware o compromettere le reti aziendali interne per rubare dati.
Gli amministratori dei dispositivi interessati dovrebbero aggiornare i propri dispositivi al firmware più recente il prima possibile.
Zyxel rilascia un nuovo firmware per i firewall
In un avviso, Zyxel ha ringraziato gli EYE per la loro divulgazione e ha dichiarato di aver utilizzato le credenziali codificate per fornire aggiornamenti automatici del firmware tramite FTP.
“Una vulnerabilità delle credenziali hardcoded è stata identificata nell’account utente” zyfwp “in alcuni firewall Zyxel e controller AP. L’account è stato progettato per fornire aggiornamenti automatici del firmware ai punti di accesso connessi tramite FTP”, afferma Zyxel.
Zyxel ha rilasciato la patch ZLD V4.60 Patch 1 per rimuovere le credenziali hardcoded nei dispositivi vulnerabili ATP, USG, USG Flex e VPN. Zyxel afferma che i firewall ATP, USG, USG FLEX e VPN che utilizzano firmware o SD-OS precedenti non sono interessati.
La patch per i controller AP NXC dovrebbe essere rilasciata nell’aprile 2021.
Di seguito è riportata la tabella dei prodotti Zyxel interessati e la disponibilità delle patch.
Serie Prodotti Interessati | Patch disponibile dal |
---|---|
Firewalls | |
ATP series running firmware ZLD V4.60 | ZLD V4.60 Patch1 in Dic. 2020 |
USG series running firmware ZLD V4.60 | ZLD V4.60 Patch1 in Dic. 2020 |
USG FLEX series running firmware ZLD V4.60 | ZLD V4.60 Patch1 in Dic. 2020 |
VPN series running firmware ZLD V4.60 | ZLD V4.60 Patch1 in Dic. 2020 |
AP controllers | |
NXC2500 | V6.10 Patch1 nel Aprile 2021 |
NXC5500 | V6.10 Patch1 nel Aprile 2021 |
Ora si apre una fase delicatissima, in cui tutte le aziende e gli enti che utilizzano uno dei prodotti compresi nell’elenco dovranno correre quanto prima ai ripari per aggiornare il firmware e “tappare” la backdoor.
Considerato che siamo nel mezzo delle feste natalizie, però, viene difficile immaginare un momento peggiore per ritrovarsi a gestire una situazione che potrebbe trasformarsi in una vera e propria emergenza.
Come se non bastasse, poi, gli aggiornamenti per i controller AP Zyxel (NXC2500 e NXC5500) non sono ancora disponibili e verranno rilasciati solo il prossimo 8 gennaio.
Maestro del Caos Digitale e Guardiano del Cyberspazio, naviga nel mare oscuro della sicurezza informatica da oltre vent’anni, armato di codice e un irresistibile papillon.
Con la precisione di un bisturi e l’umorismo di un hacker, ha trasformato centinaia di “comuni mortali IT” in veri e propri ninja dell’Ethical Hacking. La sua missione? Insegnare l’arte della difesa digitale a migliaia di ignare risorse aziendali, un firewall alla volta.
Tre segreti che lo rendono un unicorno nel mondo cyber:
Ha una relazione quasi ossessiva con le password. Alcuni collezionano francobolli, lui colleziona hash crittografici.
Il suo gatto si chiama Hash. Sì, come l’algoritmo. No, non miagola in binario (ancora).
Indossa sempre un papillon, perché chi ha detto che non si può hackerare con stile?
Se lo cercate, seguite la scia di bit verdi: è il suo colore preferito. Perché anche nel mondo digitale, è sempre primavera per la sicurezza!