Бэкдор в межсетевых экранах и контроллерах точек доступа Zyxel

В оборудовании Zyxel выявлено наличие бэкдора (CVE-2020-29583), позволяющего удалённо получить доступ к устройству с правами администратора. Проблема вызвана наличием встроенной учётной записи "zyfwp", дающей возможность подключиться к системе с предопределённым паролем "PrOw!aN_fXp" по протоколу SSH или через web-интерфейс.

ssh zyfwp@192.168.1.252
Password: PrOw!aN_fXp

Router> show users current
No: 1
Name: zyfwp
Type: admin
(...)
Router>

По словам представителей компания Zyxel бэкдор не был следствием вредоносной активности сторонних злоумышленников, а представлял собой штатную функцию, применяемую для автоматической загрузки обновлений прошивки через протокол FTP. Примечательно, что предопределённый пароль не был зашифрован и был замечен исследователями безопасности из компании Eye Control при изучении текстовых фрагментов, встречающихся в образе прошивки. В базе пользователей пароль хранился в форме хэша, а дополнительная учётная запись исключалась из списка пользователей, но в одном из исполняемых файлов пароль присутствовал в открытом виде. Компания Zyxel была информирована о проблеме в конце ноября и частично устранила проблему 18 декабря.

Проблеме подвержены межсетевые экраны Zyxel серий ATP (Advanced Threat Protection), USG (Unified Security Gateway), USG FLEX и VPN, а также контроллеры точек доступа NXC2500 и NXC5500. В межсетевых экранах проблема устранена в обновлении прошивки V4.60 Patch1 (утверждается, что предопределённый пароль появился только в прошивке V4.60 Patch0, а более старые версии прошивок не подвержены проблеме, но в старых прошивках присутствуют другие уязвимости, через которые можно атаковать устройства). В точках доступа исправление будет включено в обновление V6.10 Patch1, намеченное на апрель 2021 года. Всем пользователям проблемных устройств рекомендуется незамедлительно обновить прошивку или закрыть доступ к сетевым портам на уровне межсетевого экрана.

Проблему усугубляет то, что VPN-сервис и web-интерфейс для управления устройством по умолчанию принимают соединения на одном сетевом порту 443, из-за чего многие пользователи оставляли открытым 443 порт для внешних запросов и, таким образом, кроме точки подключения к VPN, оставляли и возможность входа в web-интерфейс. По предварительной оценке для подключения через сетевой порт 443 в сети доступны более 100 тысяч устройств, содержащих выявленный бэкдор.

#zyxel #security #backdoor #бэкдор #безопасность #безпека

Публікації за темою:

Бэкдор в маршрутизаторах FiberHome

Критическая уязвимость в sudo, позволяющая получить привилегии root

Взлом Ubiquiti на самом деле мог быть катастрофического масштаба

accel-ppp переполнение буффера через radius и CoA

В Samba устранено 8 опасных уязвимостей

більше приховати

Уязвимость в межсетевых экранах Palo Alto Networks позволяет удаленно выполнять код

Cisco исправила критические уязвимости в устройствах Nexus класса High End

Уязвимость в домашних маршрутизаторах, охватывающая 17 производителей

Zimbra можно взломать с помощью одного электронного письма