Бэкдор в межсетевых экранах и контроллерах точек доступа Zyxel

Discussion in 'Мировые новости. Обсуждения.' started by Suicide, 4 Jan 2021.

  1. Suicide

    Suicide Super Moderator
    Staff Member

    Joined:
    24 Apr 2009
    Messages:
    2,193
    Likes Received:
    5,772
    Reputations:
    693
    В оборудовании Zyxel выявлено наличие бэкдора (CVE-2020-29583), позволяющего удалённо получить доступ к устройству с правами администратора. Проблема вызвана наличием встроенной учётной записи "zyfwp", дающей возможность подключиться к системе с предопределённым паролем "PrOw!aN_fXp" по протоколу SSH или через web-интерфейс.


    Code:
    ssh zyfwp@192.168.1.252
       Password: PrOw!aN_fXp
      
       Router> show users current
       No: 1
       Name: zyfwp
       Type: admin
       (...)
       Router>
    По словам представителей компания Zyxel бэкдор не был следствием вредоносной активности сторонних злоумышленников, а представлял собой штатную функцию, применяемую для автоматической загрузки обновлений прошивки через протокол FTP. Примечательно, что предопределённый пароль не был зашифрован и был замечен исследователями безопасности из компании Eye Control при изучении текстовых фрагментов, встречающихся в образе прошивки. В базе пользователей пароль хранился в форме хэша, а дополнительная учётная запись исключалась из списка пользователей, но в одном из исполняемых файлов пароль присутствовал в открытом виде. Компания Zyxel была информирована о проблеме в конце ноября и частично устранила проблему 18 декабря.

    Проблеме подвержены межсетевые экраны Zyxel серий ATP (Advanced Threat Protection), USG (Unified Security Gateway), USG FLEX и VPN, а также контроллеры точек доступа NXC2500 и NXC5500. В межсетевых экранах проблема устранена в обновлении прошивки V4.60 Patch1 (утверждается, что предопределённый пароль появился только в прошивке V4.60 Patch0, а более старые версии прошивок не подвержены проблеме, но в старых прошивках присутствуют другие уязвимости, через которые можно атаковать устройства). В точках доступа исправление будет включено в обновление V6.10 Patch1, намеченное на апрель 2021 года. Всем пользователям проблемных устройств рекомендуется незамедлительно обновить прошивку или закрыть доступ к сетевым портам на уровне межсетевого экрана.

    Проблему усугубляет то, что VPN-сервис и web-интерфейс для управления устройством по умолчанию принимают соединения на одном сетевом порту 443, из-за чего многие пользователи оставляли открытым 443 порт для внешних запросов и, таким образом, кроме точки подключения к VPN, оставляли и возможность входа в web-интерфейс. По предварительной оценке для подключения через сетевой порт 443 в сети доступны более 100 тысяч устройств, содержащих выявленный бэкдор.

     
    alexzir, devton, DartPhoenix and 2 others like this.
  2. devton

    devton Elder - Старейшина

    Joined:
    26 Oct 2007
    Messages:
    3,344
    Likes Received:
    4,915
    Reputations:
    46
    для 21 века довольно дико 0_О
    фтп, пароль открытым текстом в файлике, не выводится в списке пользователь О_0
     
  3. DartPhoenix

    DartPhoenix Elder - Старейшина

    Joined:
    15 Sep 2013
    Messages:
    843
    Likes Received:
    7,169
    Reputations:
    19
    Кто там их чекает...
    Все по старому-доброму админскому принципу "если работает - ничего не трогай".
     
  4. mankurt13

    mankurt13 Well-Known Member

    Joined:
    18 Oct 2019
    Messages:
    201
    Likes Received:
    963
    Reputations:
    2
    Очень странно, ибо псевдотекстовых последовательностей из печатных символов и спецсимволов в прошивках около 4мб тысячи, если не десятки тысяч:
    И как они "PrOw!aN_fXp" среди этого добра разглядели?
     
    Suicide and DartPhoenix like this.
  5. DartPhoenix

    DartPhoenix Elder - Старейшина

    Joined:
    15 Sep 2013
    Messages:
    843
    Likes Received:
    7,169
    Reputations:
    19
    Скорей всего в дампе какой-нибудь Идой... Где-то посреди беспорядочных данных нашлись две более или менее текстовые строки.
     
    Suicide likes this.
Loading...