W urządzeniach sieciowych Zyxel odkryto krytyczną podatność, której prostota aż kłuje oczy. Chodzi o wbudowane konto z uprawnieniami administratora, istniejące na ponad 100 000 różnych urządzeniach, takich jak zapory sieciowe, bramy VPN, czy kontrolery punktów dostępowych.
Za pomocą tego konta, osoba o złośliwych zamiarach może zarządzać uprawnieniami w urządzeniach poprzez interfejs SSH, a więc tym samym przydzielić sobie np. uprawnienia root dla wybranego konta użytkownika lub nawet stworzyć nowe konto.
Eksperci ostrzegają, że każdy, od operatorów botnetów DDoS po sponsorowane przez państwo grupy hackerskie i gangi ransomware, może wykorzystać to ukryte konto jako backdoor, aby uzyskać dostęp do wrażliwych urządzeń i przejść do sieci wewnętrznych w celu przeprowadzenia dodatkowych ataków.
Jakie urządzenia są podatne?
Modele, których dotyczy problem, obejmują wiele najlepszych produktów Zyxel z linii urządzeń biznesowych, zwykle wdrażanych w prywatnych sieciach korporacyjnych i rządowych.
Obejmuje to urządzenia Zyxel takie jak:
- seria Advanced Threat Protection (ATP) – używana głównie jako firewall
- seria Unified Security Gateway (USG) – używana jako hybrydowa zapora i brama VPN
- seria USG FLEX – stosowana jako hybrydowa zapora i brama VPN
- seria VPN – używana jako brama VPN
- seria NXC – używana jako kontroler punktu dostępu WLAN
Wiele z tych urządzeń jest eksploatowanych na obrzeżach sieci firmowej i po przejęciu umożliwia atakującym rozpoczęcie dalszych ataków na hosty wewnętrzne.
Łatki są obecnie dostępne tylko dla serii ATP, USG, USG Flex i VPN. Poprawki dla serii NXC spodziewane są w kwietniu 2021 r., zgodnie z ogłoszeniem Zyxel:
Zainstalowanie łatek usuwa konto backdoora, które według badaczy z Eye Control używa nazwy użytkownika „zyfwp” i hasła „PrOw! AN_fXp”.
„Hasło w postaci jawnego tekstu było widoczne w jednym z plików binarnych w systemie” – powiedzieli holenderscy naukowcy w raporcie opublikowanym przed świętami Bożego Narodzenia 2020 roku.
Naukowcy powiedzieli, że konto miało dostęp root do urządzenia, ponieważ było używane do instalowania aktualizacji oprogramowania układowego na innych połączonych urządzeniach Zyxel za pośrednictwem protokołu FTP.
Zyxel nie uczy się na błędach
Zyxel powinien był wyciągnąć wnioski z poprzedniego incydentu, który miał miejsce w 2016 roku.
Podatność ta była śledzona jako CVE-2016-10401, a wydane w tamtym czasie urządzenia Zyxel zawierały tajny mechanizm backdoora, który umożliwiał każdemu podniesienie poziomu dowolnego konta na urządzeniu Zyxel do poziomu roota przy użyciu hasła „zyad5001” SU (superużytkownika).
Tym bardziej zaskakujące jest zobaczenie kolejnego zakodowanego na stałe poświadczenia, zwłaszcza, że Zyxel doskonale zdaje sobie sprawę, że ostatnim razem, gdy to się stało, zostało nadużyte przez kilka znanych botnetów, a podobno nadal znajduje się w ich arsenałach.
Ale tym razem sytuacja jest gorsza. Mechanizm backdoora z 2016 r. wymagał, aby napastnicy najpierw mieli dostęp do konta o niskich uprawnieniach na urządzeniu Zyxel – aby mogli podnieść je do roota – backdoor 2020 jest gorszy, ponieważ może zapewnić atakującym bezpośredni dostęp do urządzenia bez żadnych specjalnych warunków.
Ponadto, w przeciwieństwie do poprzedniego exploita, który był używany tylko w Telnecie, wymaga to jeszcze mniejszego doświadczenia, ponieważ można bezpośrednio wypróbować poświadczenia na panelu hostowanym na porcie 443 w przeglądarce.
Co więcej, backdoor z 2016 był dostępny szczególnie na domowych routerach i urządzeniach małej skali. Teraz atakujący mają dostęp do szerszego spektrum ofiar, z których większość to cele korporacyjne, ponieważ wrażliwe urządzenia są sprzedawane firmom głównie jako metoda kontroli, kto może uzyskać dostęp do intranetu i sieci wewnętrznych.
Podsumowanie
Odkryte podatne konto w urządzeniach brzegowych to bardzo poważna sprawa, gdyż dostęp do niego może uzyskać praktycznie każdy, nawet niewprawiony hacker i zrobić po tym sporo zamieszania. Luki w firewall’ach i bramach VPN były jednym z głównych źródeł ataków ransomware w 2019 i 2020 roku. Podatności urządzeń Pulse Secure, Fortinet, Citrix, MobileIron i Cisco były często wykorzystywane do ataków na firmy i sieci rządowe. Nowy backdoor Zyxel może narazić całą grupę nowych firm i agencji rządowych na ten sam rodzaj ataków, które widzieliśmy w ciągu ostatnich dwóch lat.