Home Posty
Wideo Kampanie
  • Home
  • Posty
  • Wideo
  • Kampanie
O kapitanie
Okiem eksperta
Kliknąć warto

Wybrany post: Ukryte konto w urządzeniach Zyxel to backdoor!

5 stycznia 2021
account
backdoor
CVE-2020-29583
network
password
zyxel

W urządzeniach sieciowych Zyxel odkryto krytyczną podatność, której prostota aż kłuje oczy. Chodzi o wbudowane konto z uprawnieniami administratora, istniejące na ponad 100 000 różnych urządzeniach, takich jak zapory sieciowe, bramy VPN, czy kontrolery punktów dostępowych.
Za pomocą tego konta, osoba o złośliwych zamiarach może zarządzać uprawnieniami w urządzeniach poprzez interfejs SSH, a więc tym samym przydzielić sobie np. uprawnienia root dla wybranego konta użytkownika lub nawet stworzyć nowe konto.

Eksperci ostrzegają, że każdy, od operatorów botnetów DDoS po sponsorowane przez państwo grupy hackerskie i gangi ransomware, może wykorzystać to ukryte konto jako backdoor, aby uzyskać dostęp do wrażliwych urządzeń i przejść do sieci wewnętrznych w celu przeprowadzenia dodatkowych ataków.


Jakie urządzenia są podatne?

Modele, których dotyczy problem, obejmują wiele najlepszych produktów Zyxel z linii urządzeń biznesowych, zwykle wdrażanych w prywatnych sieciach korporacyjnych i rządowych.

Obejmuje to urządzenia Zyxel takie jak:

  • seria Advanced Threat Protection (ATP) – używana głównie jako firewall
  • seria Unified Security Gateway (USG) – używana jako hybrydowa zapora i brama VPN
  • seria USG FLEX – stosowana jako hybrydowa zapora i brama VPN
  • seria VPN – używana jako brama VPN
  • seria NXC – używana jako kontroler punktu dostępu WLAN

Wiele z tych urządzeń jest eksploatowanych na obrzeżach sieci firmowej i po przejęciu umożliwia atakującym rozpoczęcie dalszych ataków na hosty wewnętrzne.

Łatki są obecnie dostępne tylko dla serii ATP, USG, USG Flex i VPN. Poprawki dla serii NXC spodziewane są w kwietniu 2021 r., zgodnie z ogłoszeniem Zyxel:

Zainstalowanie łatek usuwa konto backdoora, które według badaczy z Eye Control używa nazwy użytkownika „zyfwp” i hasła „PrOw! AN_fXp”. „Hasło w postaci jawnego tekstu było widoczne w jednym z plików binarnych w systemie” – powiedzieli holenderscy naukowcy w raporcie opublikowanym przed świętami Bożego Narodzenia 2020 roku.

Naukowcy powiedzieli, że konto miało dostęp root do urządzenia, ponieważ było używane do instalowania aktualizacji oprogramowania układowego na innych połączonych urządzeniach Zyxel za pośrednictwem protokołu FTP.


Zyxel nie uczy się na błędach

Zyxel powinien był wyciągnąć wnioski z poprzedniego incydentu, który miał miejsce w 2016 roku.
Podatność ta była śledzona jako CVE-2016-10401, a wydane w tamtym czasie urządzenia Zyxel zawierały tajny mechanizm backdoora, który umożliwiał każdemu podniesienie poziomu dowolnego konta na urządzeniu Zyxel do poziomu roota przy użyciu hasła „zyad5001” SU (superużytkownika).

Tym bardziej zaskakujące jest zobaczenie kolejnego zakodowanego na stałe poświadczenia, zwłaszcza, że Zyxel doskonale zdaje sobie sprawę, że ostatnim razem, gdy to się stało, zostało nadużyte przez kilka znanych botnetów, a podobno nadal znajduje się w ich arsenałach.

Ale tym razem sytuacja jest gorsza. Mechanizm backdoora z 2016 r. wymagał, aby napastnicy najpierw mieli dostęp do konta o niskich uprawnieniach na urządzeniu Zyxel – aby mogli podnieść je do roota – backdoor 2020 jest gorszy, ponieważ może zapewnić atakującym bezpośredni dostęp do urządzenia bez żadnych specjalnych warunków.

Ponadto, w przeciwieństwie do poprzedniego exploita, który był używany tylko w Telnecie, wymaga to jeszcze mniejszego doświadczenia, ponieważ można bezpośrednio wypróbować poświadczenia na panelu hostowanym na porcie 443 w przeglądarce.

Co więcej, backdoor z 2016 był dostępny szczególnie na domowych routerach i urządzeniach małej skali. Teraz atakujący mają dostęp do szerszego spektrum ofiar, z których większość to cele korporacyjne, ponieważ wrażliwe urządzenia są sprzedawane firmom głównie jako metoda kontroli, kto może uzyskać dostęp do intranetu i sieci wewnętrznych.


Podsumowanie

Odkryte podatne konto w urządzeniach brzegowych to bardzo poważna sprawa, gdyż dostęp do niego może uzyskać praktycznie każdy, nawet niewprawiony hacker i zrobić po tym sporo zamieszania.
Luki w firewall’ach i bramach VPN były jednym z głównych źródeł ataków ransomware w 2019 i 2020 roku. Podatności urządzeń Pulse Secure, Fortinet, Citrix, MobileIron i Cisco były często wykorzystywane do ataków na firmy i sieci rządowe. Nowy backdoor Zyxel może narazić całą grupę nowych firm i agencji rządowych na ten sam rodzaj ataków, które widzieliśmy w ciągu ostatnich dwóch lat.

Podziel się z innymi tym artykułem!

Najnowsze posty

  • analisys conti ransomware

    Jak działa najnowsza wersja ransomware Conti?

    Czytaj dalej >

  • Dark Finger exfiltration finger LOLBin LotL okiem_eksperta

    Wykradanie oraz pobieranie danych do/z Internetu za pomocą wbudowanego w Windows polecenia Finger.exe

    Czytaj dalej >

  • APT41 china CrossWalk malware

    Analiza nowego kierunkowego ataku grupy Winnti

    Czytaj dalej >

  • cyberbezpieczeństwo news

    Zestawienie tygodniowe 11 – 18 stycznia

    Czytaj dalej >

  • bug cve failure harddrive i30 okiem_eksperta zero-day

    Jak popsuć Windows używając tylko jednej komendy?

    Czytaj dalej >

  • bytedance google tiktok

    TikTok jednak szpiegował?

    Czytaj dalej >

  • backdoor cookies hacking php shell web

    Jak hackerzy wykorzystują popularne ciasteczka do ukrywania backdoorów?

    Czytaj dalej >

Więcej postów ›

Popularne #hashtagi

Active Directory AD ai android apple attack backdoor best practices bug bypass cve cyberatak cyberbezpieczeństwo cyberprzestępczość cybersecurity data DNS exploit google hack hacking hash kerberos killchain machine_learning malware microsoft mimikatz mobile news okiem_eksperta password phishing phone podatność powershell ransomware rce socjotechnika trojan vulnerability web windows windows10 zero-day

O nas

  • Nota prawna
  • Reklama
  • Kontakt

Bądź na bieżąco

  • Facebook
  • Linkedin
  • Youtube

Przydatne linki

  • O kapitanie
  • Okiem eksperta
  • Kliknąć warto

Kapitan Hack

  • Home
  • Posty
  • Wideo
  • Kampanie

Wszelkie prawa zastrzeżone © 2021

Ta strona korzysta z ciasteczek aby świadczyć usługi na najwyższym poziomie. Dalsze korzystanie ze strony oznacza, że zgadzasz się na ich użycie.Zgoda