Zyxel Backdoor segreta scoperta nei firewall e nei controller AP

Zyxel backdoor: Oltre 100.000 dispositivi sono potenzialmente vulnerabili a una backdoor segreta causata da credenziali hardcoded utilizzate per aggiornare il firewall e il firmware dei controller AP.

Zyxel Backdoor segreta scoperta nei firewall e nei controller AP

Zyxel backdoor: Oltre 100.000 dispositivi Zyxel sono potenzialmente vulnerabili a una backdoor segreta causata da credenziali hardcoded utilizzate per aggiornare il firewall e il firmware dei controller AP.

Niels Teusink della società olandese di sicurezza informatica EYE ha scoperto un account amministrativo segreto con hardcoded nell’ultima patch 0 del firmware 4.60 per alcuni dispositivi Zyxel.

$ ssh [email protected]
Password: Pr ******* Xp
Router> show users current
No: 1
  Name: zyfwp
  Type: admin
(...)
Router>

Questo account non viene visualizzato nell’interfaccia utente di Zyxel e ha un nome di accesso “zyfwp” e una password statica in testo semplice. A causa della gravità di questa vulnerabilità, si è deciso di non pubblicare la password.

Teusink ha scoperto che l’account potrebbe essere utilizzato per accedere a dispositivi vulnerabili sia via SSH che sull’interfaccia web. Poiché l’interfaccia SSL VPN opera sulla stessa porta dell’interfaccia web, Teusink ha scoperto che molti utenti hanno consentito l’accesso alla porta 443 via Internet.

“Poiché SSL VPN su questi dispositivi opera sulla stessa porta dell’interfaccia web, molti utenti hanno esposto la porta 443 di questi dispositivi su Internet. Utilizzando i dati disponibili pubblicamente da Project Sonar, sono stato in grado di identificare circa 3.000 Zyxel USG / Dispositivi ATP / VPN nei Paesi Bassi. In tutto il mondo, più di 100.000 dispositivi hanno esposto la loro interfaccia web a Internet “, ha riferito Teusink.

Le vulnerabilità dei dispositivi VPN sono estremamente pericolose in quanto possono essere utilizzate per creare nuovi account VPN per ottenere l’accesso a una rete interna o creare regole di port forwarding per rendere i servizi interni accessibili pubblicamente.

“Qualcuno potrebbe, ad esempio, modificare le impostazioni del firewall per consentire o bloccare un determinato traffico. Potrebbe anche intercettare il traffico o creare account VPN per ottenere l’accesso alla rete dietro il dispositivo. Combinato con una vulnerabilità come Zerologon, questo potrebbe essere devastante per le piccole e medie imprese” ha avvertito Teusink.

Questi tipi di vulnerabilità sono diventati i preferiti tra gli attaccanti, che sono noti per sfruttare le vulnerabilità VPN Pulse Secure, Fortinet e Citrix Netscaler per distribuire ransomware o compromettere le reti aziendali interne per rubare dati.

Gli amministratori dei dispositivi interessati dovrebbero aggiornare i propri dispositivi al firmware più recente il prima possibile.

zyxel backdoor

Zyxel rilascia un nuovo firmware per i firewall

In un avviso, Zyxel ha ringraziato gli EYE per la loro divulgazione e ha dichiarato di aver utilizzato le credenziali codificate per fornire aggiornamenti automatici del firmware tramite FTP.

“Una vulnerabilità delle credenziali hardcoded è stata identificata nell’account utente” zyfwp “in alcuni firewall Zyxel e controller AP. L’account è stato progettato per fornire aggiornamenti automatici del firmware ai punti di accesso connessi tramite FTP”, afferma Zyxel.

Zyxel ha rilasciato la patch ZLD V4.60 Patch 1 per rimuovere le credenziali hardcoded nei dispositivi vulnerabili ATP, USG, USG Flex e VPN. Zyxel afferma che i firewall ATP, USG, USG FLEX e VPN che utilizzano firmware o SD-OS precedenti non sono interessati.

La patch per i controller AP NXC dovrebbe essere rilasciata nell’aprile 2021.

Di seguito è riportata la tabella dei prodotti Zyxel interessati e la disponibilità delle patch.

Serie Prodotti Interessati Patch disponibile dal
Firewalls
ATP series running firmware ZLD V4.60 ZLD V4.60 Patch1 in Dic. 2020
USG series running firmware ZLD V4.60 ZLD V4.60 Patch1 in Dic. 2020
USG FLEX series running firmware ZLD V4.60 ZLD V4.60 Patch1 in Dic. 2020
VPN series running firmware ZLD V4.60 ZLD V4.60 Patch1 in Dic. 2020
AP controllers
NXC2500 V6.10 Patch1 nel Aprile 2021
NXC5500 V6.10 Patch1 nel Aprile 2021

Ora si apre una fase delicatissima, in cui tutte le aziende e gli enti che utilizzano uno dei prodotti compresi nell’elenco dovranno correre quanto prima ai ripari per aggiornare il firmware e “tappare” la backdoor.

Considerato che siamo nel mezzo delle feste natalizie, però, viene difficile immaginare un momento peggiore per ritrovarsi a gestire una situazione che potrebbe trasformarsi in una vera e propria emergenza.

Come se non bastasse, poi, gli aggiornamenti per i controller AP Zyxel (NXC2500 e NXC5500) non sono ancora disponibili e verranno rilasciati solo il prossimo 8 gennaio.

Related Posts

Comments are closed.