Account backdoor scoperto in più di 100.000 firewall Zyxel, gateway VPN
Più di 100.000 Zyxel firewall, gateway VPN e controller del punto di accesso contengono un account backdoor a livello di amministratore codificato che può concedere agli aggressori l’accesso root ai dispositivi tramite l’interfaccia SSH o il pannello di amministrazione web.
caratteristica speciale
La sicurezza informatica in un mondo IoT e mobile
Il mondo della tecnologia ha trascorso così tanto degli ultimi due decenni concentrato sull’innovazione che la sicurezza è stata spesso un ripensamento. Scopri come e perché sta finalmente cambiando.
Per saperne di più
L’account backdoor, scoperto da un team di ricercatori di sicurezza olandesi di Eye Control, è considerato il peggiore in termini di vulnerabilità.
Anche: Le migliori VPN
Si consiglia ai proprietari dei dispositivi di aggiornare i sistemi non appena il tempo lo consente.
Gli esperti di sicurezza avvertono che chiunque, dagli operatori di botnet DDoS ai gruppi di hacker sponsorizzati dallo stato e alle gang di ransomware, potrebbe abusare di questo account backdoor per accedere a dispositivi vulnerabili e passare alle reti interne per ulteriori attacchi.
I moduli interessati includono molti dispositivi di livello aziendale
I modelli interessati includono molti dei migliori prodotti Zyxel della sua linea di dispositivi di livello aziendale, solitamente distribuiti su reti aziendali private e governative.
Ciò include le linee di prodotti Zyxel come:
- la serie Advanced Threat Protection (ATP), utilizzata principalmente come firewall
- la serie Unified Security Gateway (USG) – utilizzata come firewall ibrido e gateway VPN
- la serie USG FLEX – utilizzata come firewall ibrido e gateway VPN
- la serie VPN – utilizzata come gateway VPN
- la serie NXC – utilizzata come controller del punto di accesso WLAN
Molti di questi dispositivi vengono utilizzati ai margini della rete aziendale e, una volta compromessi, consentono agli aggressori di ruotare e lanciare ulteriori attacchi contro gli host interni.
Le patch sono attualmente disponibili solo per le serie ATP, USG, USG Flex e VPN. Le patch per la serie NXC sono previste per aprile 2021, secondo aZyxel Security Advisory.
L’account backdoor è stato facile da scoprire
L’installazione di patch rimuove l’account backdoor, che, secondo i ricercatori di Eye Control, utilizza il “zyfwp” nome utente e “Prua!aN_fXp” parola d’ordine.
“La password in chiaro era visibile in uno dei binari sul sistema”, hanno detto i ricercatori olandesi in un rapporto pubblicato prima delle vacanze di Natale 2020.
I ricercatori hanno affermato che l’account aveva accesso root al dispositivo perché veniva utilizzato per installare aggiornamenti del firmware su altri dispositivi Zyxel interconnessi tramite FTP.
Zyxel avrebbe dovuto imparare dall’incidente della backdoor del 2016
In un’intervista aZDNetquesta settimana, il ricercatore di sicurezza IoT Ankit Anubhav ha affermato che Zyxel avrebbe dovuto imparare la lezione da un precedente incidente avvenuto nel 2016.
Tracciati come CVE-2016-10401, i dispositivi Zyxel rilasciati all’epoca contenevano un meccanismo segreto di backdoor che consentiva a chiunque di elevare qualsiasi account su un dispositivo Zyxel al livello di root utilizzando il “zyad5001” Password SU (superutente).
“È stato sorprendente vedere un’altra credenziale hardcoded specialmente perché Zyxel è ben consapevole che l’ultima volta che è successo, è stata abusata da diverse botnet”, ha detto AnubhavZDNet.
“CVE-2016-10401 è ancora nell’arsenale della maggior parte delle botnet IoT basate su attacchi di password”, ha affermato il ricercatore.
Ma questa volta, le cose vanno peggio con CVE-2020-29583, l’identificatore CVE per l’account backdoor del 2020.
Anubhav ha dettoZDNetche mentre il meccanismo backdoor del 2016 richiedeva che gli aggressori avessero prima accesso a un account con privilegi limitati su un dispositivo Zyxel in modo da poterlo elevare a root? la backdoor del 2020 è peggiore in quanto può garantire agli aggressori l’accesso diretto al dispositivo senza condizioni speciali.
“Inoltre, a differenza dell’exploit precedente, utilizzato solo in Telnet, questo richiede un’esperienza ancora minore in quanto si possono provare direttamente le credenziali sul pannello ospitato sulla porta 443”, ha affermato Anubhav.
Inoltre, Anubhav sottolinea anche che la maggior parte dei sistemi interessati è anche molto varia, rispetto al problema della backdoor del 2016, che ha avuto un impatto solo sui router domestici.
Gli aggressori hanno ora accesso a uno spettro più ampio di vittime, la maggior parte delle quali sono obiettivi aziendali, poiché i dispositivi vulnerabili sono principalmente commercializzati alle aziende come un modo per controllare chi può accedere a intranet e reti interne da postazioni remote.
Una nuova ondata di ransomware e spionaggio?
Questo è un grosso problema nel quadro più ampio perché le vulnerabilità nei firewall e nei gateway VPN sono state una delle fonti principali di attacchi ransomware e operazioni di spionaggio informatico nel 2019 e nel 2020.
Le falle di sicurezza nei dispositivi Pulse Secure, Fortinet, Citrix, MobileIron e Cisco sono state spesso sfruttate per attaccare aziende e reti governative.
La nuova backdoor di Zyxel potrebbe esporre una serie completamente nuova di aziende e agenzie governative allo stesso tipo di attacchi che abbiamo visto negli ultimi due anni.
Sicurezza
- Quando la tua VPN è una questione di vita o di morte, non fare affidamento sulle recensioni
- Le bande di ransomware si lamentano del fatto che altri criminali stanno rubando i loro riscatti
- Il CEO di Bandwidth conferma le interruzioni causate da attacchi DDoS
- Questi sistemi affrontano miliardi di attacchi ogni mese mentre gli hacker cercano di indovinare le password
- Come ottenere un lavoro ben pagato nella sicurezza informatica
- Cybersecurity 101: proteggi la tua privacy da hacker, spie, governo
