Home Posty
Wideo Kampanie
Kapitan Hack
  • Home
  • Posty
  • Wideo
  • Kampanie
O kapitanie
Okiem eksperta
Kliknąć warto

Wybrany post: Ukryte konto w urządzeniach Zyxel to backdoor!

5 stycznia 2021
account
backdoor
CVE-2020-29583
network
password
zyxel

W urządzeniach sieciowych Zyxel odkryto krytyczną podatność, której prostota aż kłuje oczy. Chodzi o wbudowane konto z uprawnieniami administratora, istniejące na ponad 100 000 różnych urządzeniach, takich jak zapory sieciowe, bramy VPN, czy kontrolery punktów dostępowych.
Za pomocą tego konta, osoba o złośliwych zamiarach może zarządzać uprawnieniami w urządzeniach poprzez interfejs SSH, a więc tym samym przydzielić sobie np. uprawnienia root dla wybranego konta użytkownika lub nawet stworzyć nowe konto.

Eksperci ostrzegają, że każdy, od operatorów botnetów DDoS po sponsorowane przez państwo grupy hackerskie i gangi ransomware, może wykorzystać to ukryte konto jako backdoor, aby uzyskać dostęp do wrażliwych urządzeń i przejść do sieci wewnętrznych w celu przeprowadzenia dodatkowych ataków.


Jakie urządzenia są podatne?

Modele, których dotyczy problem, obejmują wiele najlepszych produktów Zyxel z linii urządzeń biznesowych, zwykle wdrażanych w prywatnych sieciach korporacyjnych i rządowych.

Obejmuje to urządzenia Zyxel takie jak:

  • seria Advanced Threat Protection (ATP) – używana głównie jako firewall
  • seria Unified Security Gateway (USG) – używana jako hybrydowa zapora i brama VPN
  • seria USG FLEX – stosowana jako hybrydowa zapora i brama VPN
  • seria VPN – używana jako brama VPN
  • seria NXC – używana jako kontroler punktu dostępu WLAN

Wiele z tych urządzeń jest eksploatowanych na obrzeżach sieci firmowej i po przejęciu umożliwia atakującym rozpoczęcie dalszych ataków na hosty wewnętrzne.

Łatki są obecnie dostępne tylko dla serii ATP, USG, USG Flex i VPN. Poprawki dla serii NXC spodziewane są w kwietniu 2021 r., zgodnie z ogłoszeniem Zyxel:

Zainstalowanie łatek usuwa konto backdoora, które według badaczy z Eye Control używa nazwy użytkownika „zyfwp” i hasła „PrOw! AN_fXp”. „Hasło w postaci jawnego tekstu było widoczne w jednym z plików binarnych w systemie” – powiedzieli holenderscy naukowcy w raporcie opublikowanym przed świętami Bożego Narodzenia 2020 roku.

Naukowcy powiedzieli, że konto miało dostęp root do urządzenia, ponieważ było używane do instalowania aktualizacji oprogramowania układowego na innych połączonych urządzeniach Zyxel za pośrednictwem protokołu FTP.


Zyxel nie uczy się na błędach

Zyxel powinien był wyciągnąć wnioski z poprzedniego incydentu, który miał miejsce w 2016 roku.
Podatność ta była śledzona jako CVE-2016-10401, a wydane w tamtym czasie urządzenia Zyxel zawierały tajny mechanizm backdoora, który umożliwiał każdemu podniesienie poziomu dowolnego konta na urządzeniu Zyxel do poziomu roota przy użyciu hasła „zyad5001” SU (superużytkownika).

Tym bardziej zaskakujące jest zobaczenie kolejnego zakodowanego na stałe poświadczenia, zwłaszcza, że Zyxel doskonale zdaje sobie sprawę, że ostatnim razem, gdy to się stało, zostało nadużyte przez kilka znanych botnetów, a podobno nadal znajduje się w ich arsenałach.

Ale tym razem sytuacja jest gorsza. Mechanizm backdoora z 2016 r. wymagał, aby napastnicy najpierw mieli dostęp do konta o niskich uprawnieniach na urządzeniu Zyxel – aby mogli podnieść je do roota – backdoor 2020 jest gorszy, ponieważ może zapewnić atakującym bezpośredni dostęp do urządzenia bez żadnych specjalnych warunków.

Ponadto, w przeciwieństwie do poprzedniego exploita, który był używany tylko w Telnecie, wymaga to jeszcze mniejszego doświadczenia, ponieważ można bezpośrednio wypróbować poświadczenia na panelu hostowanym na porcie 443 w przeglądarce.

Co więcej, backdoor z 2016 był dostępny szczególnie na domowych routerach i urządzeniach małej skali. Teraz atakujący mają dostęp do szerszego spektrum ofiar, z których większość to cele korporacyjne, ponieważ wrażliwe urządzenia są sprzedawane firmom głównie jako metoda kontroli, kto może uzyskać dostęp do intranetu i sieci wewnętrznych.


Podsumowanie

Odkryte podatne konto w urządzeniach brzegowych to bardzo poważna sprawa, gdyż dostęp do niego może uzyskać praktycznie każdy, nawet niewprawiony hacker i zrobić po tym sporo zamieszania.
Luki w firewall’ach i bramach VPN były jednym z głównych źródeł ataków ransomware w 2019 i 2020 roku. Podatności urządzeń Pulse Secure, Fortinet, Citrix, MobileIron i Cisco były często wykorzystywane do ataków na firmy i sieci rządowe. Nowy backdoor Zyxel może narazić całą grupę nowych firm i agencji rządowych na ten sam rodzaj ataków, które widzieliśmy w ciągu ostatnich dwóch lat.

Podziel się z innymi tym artykułem!

Najnowsze posty

  • Bandit Stealer atakuje portfele kryptowalut i dane z przeglądarek
    bandit stealer bitcoin crypto stealer

    Bandit Stealer atakuje portfele kryptowalut i dane z przeglądarek

    Czytaj dalej >

  • Przestępcy używają zaszyfrowanych załączników, by wyłudzać informacje i kraść poświadczenia do kont Microsoft 365
    encryption Microsoft365 phishing rpmsg

    Przestępcy używają zaszyfrowanych załączników, by wyłudzać informacje i kraść poświadczenia do kont Microsoft 365

    Czytaj dalej >

  • Czym są IGA oraz IAM
    cybernews idm iga kapitanhack

    Czym są IGA oraz IAM i jaka jest między nimi różnica?

    Czytaj dalej >

  • Jak wzbogacić dane i usprawnić alerty w SOC
    alerts best practices SIEM SOAR soc

    Jak wzbogacić dane i usprawnić alerty w SOC?

    Czytaj dalej >

  • Podatność w KeePass – master key zagrożony
    keepass password PoC vault vulnerability

    Podatność w KeePass – master key zagrożony

    Czytaj dalej >

  • Routery TP-Link z wszczepionym backdoorem
    apt backdoor horseshell router tplink

    Routery TP-Link z wszczepionym backdoorem

    Czytaj dalej >

  • Miliony smartfonów dystrybuowanych na całym świecie z preinstalowanym złośliwym oprogramowaniem Guerrilla
    cybernews guerrilla kapitanhack lemongroup trendmicro

    Miliony smartfonów dystrybuowanych na całym świecie z preinstalowanym złośliwym oprogramowaniem Guerrilla

    Czytaj dalej >

Więcej postów ›

Popularne #hashtagi

Active Directory android apple attack backdoor best practices botnet bug bypass C2 cloud cve cyberbezpieczeństwo cybernews cybersecurity data DNS exchange exploit google hack hacking hash infosec kapitanhack killchain linux malware microsoft mimikatz mobile news okiem_eksperta password phishing phone powershell ransomware rce security trojan vulnerability web windows zero-day

O nas

  • Nota prawna
  • Reklama
  • Kontakt

Bądź na bieżąco

  • Facebook
  • Linkedin
  • Youtube
  • RSS

Przydatne linki

  • O kapitanie
  • Okiem eksperta
  • Kliknąć warto

Kapitan Hack

  • Home
  • Posty
  • Wideo
  • Kampanie

Wszelkie prawa zastrzeżone © 2023

Share

Blogger
Delicious
Digg
Email
Facebook
Facebook messenger
Google
Hacker News
Line
LinkedIn
Mix
Odnoklassniki
PDF
Pinterest
Pocket
Print
Reddit
Renren
Short link
SMS
Skype
Telegram
Tumblr
Twitter
VKontakte
wechat
Weibo
WhatsApp
Xing
Yahoo! Mail

Copy short link

Copy link