Spoločnosť Zyxel vydala bezpečnostnú aktualizáciu kritickej zraniteľnosti

Výskumný tím Eye Control objavil vo viac ako 100 000 zariadeniach Zyxel nebezpečnú zraniteľnosť. Zariadenia používané ako Firewall, VPN, alebo prístupový bod WLAN obsahujú „zadné vrátka“ vo forme účtu určeného pre inštaláciu aktualizácií firmvéru. Tento účet má administrátorské privilégiá a napevno nastavené prihlasovacie údaje.

Dôsledky

  • Možná kompromitácia siete
  • Zneužitie na botnetový útok
  • Únik citlivých dát

Opis činnosti
CVE-2020-29583

Spoločnosť Zyxel implementovala do softvéru zraniteľných zariadení účet s oprávneniami na úrovni správcu s pevne nastavenými prihlasovacími údajmi, ktorý umožňuje prístup k zariadeniu cez SSH, alebo webové administračné rozhranie. Prístupové údaje sú podľa tímu Eye Control zapísané textovou formou v jednom z binárnych súborov systému bežiacom na zraniteľných zariadeniach.

Takzvané „zadné vrátka“ sa u výrobcov najčastejšie používajú pre servisný prístup k zariadeniu, bohužiaľ takéto riešenie je veľmi nebezpečné a často zneužívané útočníkmi. Kompromitované zariadenie môže poslúžiť ako súčasť botnetov.

Podľa Tímu Eye Control mal tento pevne zadaný účet oprávnenia správcu, pretože jeho účelom bola inštalácia aktualizácií medzi prepojenými zariadeniami prostredníctvom protokolu FTP.

Inštalácia opravnej aktualizácie odstráni problémový účet a zamedzí tak možnej kompromitácii zariadení používaných po celom svete. Pre spoločnosť Zyxel toto nie je prvý problém so „zadnými vrátkami“. Od roku 2016 sa útočníkom neustále darí zneužívať zariadenia Zyxel na botnetové útoky pre zraniteľnosť CVE-2016-10401.

Zraniteľné systémy

  • ATP series running firmware ZLD V4.60
  • USG series running firmware ZLD V4.60
  • USG FLEX series running firmware ZLD V4.60
  • VPN series running firmware ZLD V4.60
  • NXC2500 running firmware V6.00 through V6.10
  • NXC5500 running firmware V6.00 through V6.10

Závažnosť zraniteľnosti
Vysoká

Možné škody
Nedostupnosť služby DoS
Únik informácií

Odporúčania
Odporúčame bezodkladnú aktualizáciu zariadení Zyxel.

Odkazy
https://www.zyxel.com/support/CVE-2020-29583.shtml
https://www.zdnet.com/article/backdoor-account-discovered-in-more-than-100000-zyxel-firewalls-vpn-gateways/
https://securityaffairs.co/wordpress/112877/iot/secret-backdoor-zyxel-devices.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-29583
https://nvd.nist.gov/vuln/detail/CVE-2016-10401