Бэкдор в межсетевых экранах и точках доступа Zyxel
Автор
Сообщение
news_bot ®
Стаж: 6 лет 2 месяца
Сообщений: 27286
В оборудовании Zyxel выявлено наличие бэкдора (CVE-2020-29583), позволяющего удалённо получить доступ к устройству с правами администратора. Проблема вызвана наличием встроенной учётной записи "zyfwp", дающей возможность подключиться к системе с предопределённым паролем "PrOw!aN_fXp" по протоколу SSH или через web-интерфейс.
ssh zyfwp@192.168.1.252
Password: PrOw!aN_fXp
Router> show users current
No: 1
Name: zyfwp
Type: admin
(...)
Router>
По словам представителей компания Zyxel бэкдор не был следствием вредоносной активности сторонних злоумышленников, а представлял собой штатную функцию, применяемую для автоматической загрузки обновлений прошивки через протокол FTP. Примечательно, что предопределённый пароль не был зашифрован и был замечен исследователями безопасности из компании Eye Control при изучении текстовых фрагментов, встречающихся в образе прошивки. В базе пользователей пароль хранился в форме хэша, а дополнительная учётная запись исключалась из списка пользователей, но в одном из исполняемых файлов пароль присутствовал в открытом виде. Компания Zyxel была информирована о проблеме в конце ноябре и частично устранила проблему 18 декабря.
Проблеме подвержены межсетевые экраны Zyxel серий
ATP (Advanced Threat Protection), USG (Unified Security Gateway), USG FLEX и VPN, а также точки доступа NXC2500 и NXC5500. В межсетевых экранах проблема устранена в обновлении прошивки V4.60 Patch1 (утверждается, что предопределённый пароль появился только в прошивке V4.60 Patch0, а более старые версии прошивок не подвержены проблеме, но в старых прошивках присутствуют другие уязвимости, через которые можно атаковать устройства). В точках доступа исправление будет включено в обновление V6.10 Patch1, намеченное на апрель 2021 года. Всем пользователям проблемных устройств рекомендуется незамедлительно обновить прошивку или закрыть доступ к сетевым портам на уровне межсетевого экрана.
Проблему усугубляет то, что VPN-сервис и web-интерфейс для управления устройством принимают соединения на одном сетевом порту 443, из-за чего многие пользователи оставляли открытым 443 порт для внешних запросов и, таким образом, кроме точки подключения к VPN, оставляли и возможность входа в web-интерфейс. По предварительной оценке для подключения через сетевой порт 443 в сети доступны более 100 тысяч устройств, содержащих выявленный бэкдор.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://www.eyecontrol.nl/blog...)
- OpenNews: В межсетевых экранах Juniper выявлен бэкдор с функциями расшифровки трафика VPN
- OpenNews: Уязвимости в Cisco RV32x были "устранены" через блокировку запросов от утилиты curl
- OpenNews: В коммутаторах Lenovo и IBM выявлен бэкдор
- OpenNews: В сетевых хранилищах WDMyCloud выявлен бэкдор
- OpenNews: В межсетевых экранах FortiGate выявлен бэкдор
Похожие новости:
- [Сетевые технологии, Беспроводные технологии, История IT] Коротко об истории Bluetooth: четверть века для путешествия от 1.0 до 5.2
- [Системное администрирование, Сетевые технологии, Облачные сервисы, Сетевое оборудование] Коммутаторы L2, L2+ и L3 — что, когда, куда, откуда, как, зачем и почему?
- [Системное администрирование, Сетевые технологии, Облачные сервисы, Сетевое оборудование] Убираем старые проблемы защиты крупных и малых сетей
- [Беспроводные технологии, Стандарты связи, История IT] Краткая история WiFi, возможности и перспективы беспроводной передачи данных в ближайшем будущем
- [Системное администрирование, Сетевые технологии, Облачные сервисы, Сетевое оборудование] 53 совета как поднять нерабочую сеть
- В репозитории NPM выявлен вредоносный пакет twilio-npm
- [IT-инфраструктура, Исследования и прогнозы в IT, Сетевое оборудование] Основные тренды развития телекоммуникаций в эпоху всем надоевшей пандемии
- [Системное администрирование, Сетевые технологии, Облачные сервисы, Сетевое оборудование] Особенности применения управляемых и неуправляемых коммутаторов
- [Системное администрирование, Сетевые технологии, Облачные сервисы, Сетевое оборудование] Маршрутизируем и защищаем сеть
- [Системное администрирование, Сетевые технологии, Облачные сервисы, Сетевое оборудование] Построение сетевой инфраструктуры на базе Nebula. Часть 2 — пример сети
Теги для поиска: #_zyxel, #_backdoor
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 02-Май 03:49
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 2 месяца |
|
|
В оборудовании Zyxel выявлено наличие бэкдора (CVE-2020-29583), позволяющего удалённо получить доступ к устройству с правами администратора. Проблема вызвана наличием встроенной учётной записи "zyfwp", дающей возможность подключиться к системе с предопределённым паролем "PrOw!aN_fXp" по протоколу SSH или через web-интерфейс. ssh zyfwp@192.168.1.252
Password: PrOw!aN_fXp Router> show users current No: 1 Name: zyfwp Type: admin (...) Router> Проблеме подвержены межсетевые экраны Zyxel серий ATP (Advanced Threat Protection), USG (Unified Security Gateway), USG FLEX и VPN, а также точки доступа NXC2500 и NXC5500. В межсетевых экранах проблема устранена в обновлении прошивки V4.60 Patch1 (утверждается, что предопределённый пароль появился только в прошивке V4.60 Patch0, а более старые версии прошивок не подвержены проблеме, но в старых прошивках присутствуют другие уязвимости, через которые можно атаковать устройства). В точках доступа исправление будет включено в обновление V6.10 Patch1, намеченное на апрель 2021 года. Всем пользователям проблемных устройств рекомендуется незамедлительно обновить прошивку или закрыть доступ к сетевым портам на уровне межсетевого экрана. Проблему усугубляет то, что VPN-сервис и web-интерфейс для управления устройством принимают соединения на одном сетевом порту 443, из-за чего многие пользователи оставляли открытым 443 порт для внешних запросов и, таким образом, кроме точки подключения к VPN, оставляли и возможность входа в web-интерфейс. По предварительной оценке для подключения через сетевой порт 443 в сети доступны более 100 тысяч устройств, содержащих выявленный бэкдор. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 02-Май 03:49
Часовой пояс: UTC + 5