Бэкдор в межсетевых экранах и точках доступа Zyxel

2 января 2021 года

В оборудовании Zyxel выявлено наличие бэкдора ( CVE-2020-29583), позволяющего удалённо получить доступ к устройству с правами администратора. Проблема вызвана наличием встроенной учётной записи "zyfwp", дающей возможность подключиться к системе с предопределённым паролем "PrOw!aN_fXp" по протоколу SSH или через web-интерфейс.


ssh zyfwp@192.168.1.252
Password: PrOw!aN_fXp

Router show users current
No: 1
Name: zyfwp
Type: admin
(...)
Router

По словам представителей компания Zyxel бэкдор не был следствием вредоносной активности сторонних злоумышленников, а представлял собой штатную функцию, применяемую для автоматической загрузки обновлений прошивки через протокол FTP. Примечательно, что предопределённый пароль не был зашифрован и был замечен исследователями безопасности из компании Eye Control при изучении текстовых фрагментов, встречающихся в образе прошивки. В базе пользователей пароль хранился в форме хэша, а дополнительная учётная запись исключалась из списка пользователей, но в одном из исполняемых файлов пароль присутствовал в открытом виде. Компания Zyxel была информирована о проблеме в конце ноябре и частично устранила проблему 18 декабря.

Проблеме подвержены межсетевые экраны Zyxel серий ATP (Advanced Threat Protection), USG (Unified Security Gateway), USG FLEX и VPN, а также точки доступа NXC2500 и NXC5500. В межсетевых экранах проблема устранена в обновлении прошивки V4.60 Patch1 (утверждается, что предопределённый пароль появился только в прошивке V4.60 Patch0, а более старые версии прошивок не подвержены проблеме, но в старых прошивках присутствуют другие уязвимости, через которые можно атаковать устройства). В точках доступа исправление будет включено в обновление V6.10 Patch1, намеченное на апрель 2021 года. Всем пользователям проблемных устройств рекомендуется незамедлительно обновить прошивку или закрыть доступ к сетевым портам на уровне межсетевого экрана.

Проблему усугубляет то, что VPN-сервис и web-интерфейс для управления устройством принимают соединения на одном сетевом порту 443, из-за чего многие пользователи оставляли открытым 443 порт для внешних запросов и, таким образом, кроме точки подключения к VPN, оставляли и возможность входа в web-интерфейс. По предварительной оценке в сети доступны для подключения через сетевой порт 443 более 100 тысяч устройств, содержащих выявленный бэкдор.

Источники править


 
 
Creative Commons
Эта статья содержит материалы из статьи «Бэкдор в межсетевых экранах и точках доступа Zyxel», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
 
Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.