Home Posty
Wideo Kampanie
Kapitan Hack
  • Home
  • Posty
  • Wideo
  • Kampanie
O kapitanie
Okiem eksperta
Kliknąć warto

Wybrany post: Ukryte konto w urządzeniach Zyxel to backdoor!

5 stycznia 2021
account
backdoor
CVE-2020-29583
network
password
zyxel

W urządzeniach sieciowych Zyxel odkryto krytyczną podatność, której prostota aż kłuje oczy. Chodzi o wbudowane konto z uprawnieniami administratora, istniejące na ponad 100 000 różnych urządzeniach, takich jak zapory sieciowe, bramy VPN, czy kontrolery punktów dostępowych.
Za pomocą tego konta, osoba o złośliwych zamiarach może zarządzać uprawnieniami w urządzeniach poprzez interfejs SSH, a więc tym samym przydzielić sobie np. uprawnienia root dla wybranego konta użytkownika lub nawet stworzyć nowe konto.

Eksperci ostrzegają, że każdy, od operatorów botnetów DDoS po sponsorowane przez państwo grupy hackerskie i gangi ransomware, może wykorzystać to ukryte konto jako backdoor, aby uzyskać dostęp do wrażliwych urządzeń i przejść do sieci wewnętrznych w celu przeprowadzenia dodatkowych ataków.


Jakie urządzenia są podatne?

Modele, których dotyczy problem, obejmują wiele najlepszych produktów Zyxel z linii urządzeń biznesowych, zwykle wdrażanych w prywatnych sieciach korporacyjnych i rządowych.

Obejmuje to urządzenia Zyxel takie jak:

  • seria Advanced Threat Protection (ATP) – używana głównie jako firewall
  • seria Unified Security Gateway (USG) – używana jako hybrydowa zapora i brama VPN
  • seria USG FLEX – stosowana jako hybrydowa zapora i brama VPN
  • seria VPN – używana jako brama VPN
  • seria NXC – używana jako kontroler punktu dostępu WLAN

Wiele z tych urządzeń jest eksploatowanych na obrzeżach sieci firmowej i po przejęciu umożliwia atakującym rozpoczęcie dalszych ataków na hosty wewnętrzne.

Łatki są obecnie dostępne tylko dla serii ATP, USG, USG Flex i VPN. Poprawki dla serii NXC spodziewane są w kwietniu 2021 r., zgodnie z ogłoszeniem Zyxel:

Zainstalowanie łatek usuwa konto backdoora, które według badaczy z Eye Control używa nazwy użytkownika „zyfwp” i hasła „PrOw! AN_fXp”. „Hasło w postaci jawnego tekstu było widoczne w jednym z plików binarnych w systemie” – powiedzieli holenderscy naukowcy w raporcie opublikowanym przed świętami Bożego Narodzenia 2020 roku.

Naukowcy powiedzieli, że konto miało dostęp root do urządzenia, ponieważ było używane do instalowania aktualizacji oprogramowania układowego na innych połączonych urządzeniach Zyxel za pośrednictwem protokołu FTP.


Zyxel nie uczy się na błędach

Zyxel powinien był wyciągnąć wnioski z poprzedniego incydentu, który miał miejsce w 2016 roku.
Podatność ta była śledzona jako CVE-2016-10401, a wydane w tamtym czasie urządzenia Zyxel zawierały tajny mechanizm backdoora, który umożliwiał każdemu podniesienie poziomu dowolnego konta na urządzeniu Zyxel do poziomu roota przy użyciu hasła „zyad5001” SU (superużytkownika).

Tym bardziej zaskakujące jest zobaczenie kolejnego zakodowanego na stałe poświadczenia, zwłaszcza, że Zyxel doskonale zdaje sobie sprawę, że ostatnim razem, gdy to się stało, zostało nadużyte przez kilka znanych botnetów, a podobno nadal znajduje się w ich arsenałach.

Ale tym razem sytuacja jest gorsza. Mechanizm backdoora z 2016 r. wymagał, aby napastnicy najpierw mieli dostęp do konta o niskich uprawnieniach na urządzeniu Zyxel – aby mogli podnieść je do roota – backdoor 2020 jest gorszy, ponieważ może zapewnić atakującym bezpośredni dostęp do urządzenia bez żadnych specjalnych warunków.

Ponadto, w przeciwieństwie do poprzedniego exploita, który był używany tylko w Telnecie, wymaga to jeszcze mniejszego doświadczenia, ponieważ można bezpośrednio wypróbować poświadczenia na panelu hostowanym na porcie 443 w przeglądarce.

Co więcej, backdoor z 2016 był dostępny szczególnie na domowych routerach i urządzeniach małej skali. Teraz atakujący mają dostęp do szerszego spektrum ofiar, z których większość to cele korporacyjne, ponieważ wrażliwe urządzenia są sprzedawane firmom głównie jako metoda kontroli, kto może uzyskać dostęp do intranetu i sieci wewnętrznych.


Podsumowanie

Odkryte podatne konto w urządzeniach brzegowych to bardzo poważna sprawa, gdyż dostęp do niego może uzyskać praktycznie każdy, nawet niewprawiony hacker i zrobić po tym sporo zamieszania.
Luki w firewall’ach i bramach VPN były jednym z głównych źródeł ataków ransomware w 2019 i 2020 roku. Podatności urządzeń Pulse Secure, Fortinet, Citrix, MobileIron i Cisco były często wykorzystywane do ataków na firmy i sieci rządowe. Nowy backdoor Zyxel może narazić całą grupę nowych firm i agencji rządowych na ten sam rodzaj ataków, które widzieliśmy w ciągu ostatnich dwóch lat.

Podziel się z innymi tym artykułem!

Najnowsze posty

  • Podatności w Samsungach
    cybernews galaxy kapitanhack samsung

    Podatności w Samsungach, również te wykorzystywane przez producenta oprogramowania szpiegującego

    Czytaj dalej >

  • Top 10 podatności w aplikacjach w 2022 roku według OWASP
    application owasp top10 web

    Top 10 podatności w aplikacjach w 2022 roku według OWASP

    Czytaj dalej >

  • przychody z ransomware w 2022 roku
    backup kapitanhack ransomware

    Raport: Jak wyglądały przychody z ransomware w 2022 roku?

    Czytaj dalej >

  • Nowa podatność RCE w Microsoft Azure
    app_services azure cloud emoideploy rce vulnerability

    Nowa podatność RCE w Microsoft Azure

    Czytaj dalej >

  • Jak wygląda atak BYOVD i dlaczego jest tak niebezpieczny?
    attack byovd bypass edr hacker

    Jak wygląda atak BYOVD i dlaczego jest tak niebezpieczny?

    Czytaj dalej >

  • Cybergrupy aktywne na wojnie z Ukrainą
    cyberwar infosec kapitanhack

    Cybergrupy aktywne na wojnie z Ukrainą

    Czytaj dalej >

  • Czy istnieje już malware stworzony przez AI?
    ai malware

    Czy istnieje już malware stworzony przez AI?

    Czytaj dalej >

Więcej postów ›

Popularne #hashtagi

Active Directory AD android apple attack backdoor best practices botnet bug bypass C2 cloud cve cyberbezpieczeństwo cybernews cybersecurity data DNS exchange exploit google hack hacking hash kapitanhack killchain linux malware microsoft mimikatz mobile news okiem_eksperta password phishing phone powershell ransomware rce security trojan vulnerability web windows zero-day

O nas

  • Nota prawna
  • Reklama
  • Kontakt

Bądź na bieżąco

  • Facebook
  • Linkedin
  • Youtube
  • RSS

Przydatne linki

  • O kapitanie
  • Okiem eksperta
  • Kliknąć warto

Kapitan Hack

  • Home
  • Posty
  • Wideo
  • Kampanie

Wszelkie prawa zastrzeżone © 2023

Share

Blogger
Delicious
Digg
Email
Facebook
Facebook messenger
Google
Hacker News
Line
LinkedIn
Mix
Odnoklassniki
PDF
Pinterest
Pocket
Print
Reddit
Renren
Short link
SMS
Skype
Telegram
Tumblr
Twitter
VKontakte
wechat
Weibo
WhatsApp
Xing
Yahoo! Mail

Copy short link

Copy link