Хакеры пытаются использовать недавно обнаруженный бэкдор, встроенный в несколько моделей устройств Zyxel, который сотни тысяч людей и компаний используют в качестве VPN, межсетевых экранов и точек беспроводного доступа.
Бэкдор представляет собой недокументированную учетную запись пользователя с полными административными правами, жестко закодированную в прошивке устройства, – сообщил исследователь из нидерландской компании по безопасности Eye Control. Доступ к учетной записи, использующей имя пользователя zyfwp, можно получить по SSH или через веб-интерфейс.
Серьезная уязвимость
Исследователь предупредил, что учетная запись подвергает пользователей значительному риску, особенно если она использовалась для использования других уязвимостей, таких как Zerologon, критический недостаток Windows, который позволяет злоумышленникам мгновенно становиться всемогущими администраторами сети.
«Поскольку пользователь zyfwp имеет права администратора, это серьезная уязвимость», – написал исследователь Eye Control Нильс Тьюзинк. «Злоумышленник может полностью нарушить конфиденциальность, целостность и доступность устройства. Кто-то может, например, изменить настройки брандмауэра, чтобы разрешить или заблокировать определенный трафик. Они также могут перехватывать трафик или создавать учетные записи VPN, чтобы получить доступ к сети за устройством. В сочетании с такой уязвимостью, как Zerologon, это может иметь разрушительные последствия для малого и среднего бизнеса ».
Эндрю Моррис, основатель и генеральный директор охранной фирмы GreyNoise, заявил в понедельник, что датчики его компании обнаружили автоматические атаки, которые используют учетные данные для входа в уязвимые устройства. В большинстве или во всех попытках входа в систему злоумышленники просто добавляли учетные данные к существующим спискам комбинаций имени пользователя и пароля по умолчанию, используемых для взлома незащищенных маршрутизаторов и других типов устройств.
«По определению все, что мы видим, должно быть оппортунистическим», – сказал Моррис, имея в виду, что злоумышленники используют учетные данные против IP-адресов псевдослучайным образом в надежде найти подключенные устройства, которые могут быть захвачены. GreyNoise развертывает датчики сбора данных в сотнях центров обработки данных по всему миру, чтобы отслеживать попытки сканирования и использования в Интернете.
Попытки входа в систему, которые видит GreyNoise, происходят через SSH-соединения, но исследователь Eye Control Тьюзинк сказал, что к недокументированной учетной записи также можно получить доступ через веб-интерфейс. Исследователь сказал, что недавнее сканирование показало, что более 100 000 устройств Zyxel открыли веб-интерфейс для Интернета.
Тусинк сказал, что бэкдор, похоже, был представлен в версии прошивки 4.39, которая была выпущена несколько недель назад. Сканирование устройств Zyxel в Нидерландах показало, что около 10% из них используют эту уязвимую версию. Zyxel выпустила совет по безопасности отмечая конкретные модели устройств, которые затронуты. Они включают:
Межсетевые экраны
- Серия ATP под управлением прошивки ZLD V4.60
- Серия USG под управлением прошивки ZLD V4.60 ZLD
- Серия USG FLEX с прошивкой ZLD V4.60
- Серия VPN под управлением прошивки ZLD V4.60
Контроллеры AP
- NXC2500 с прошивкой от V6.00 до V6.10
- NXC5500 с прошивкой от V6.00 до V6.10
Для моделей брандмауэра исправление уже доступно. Между тем, контроллеры AP должны получить исправление в пятницу. Zyxel заявила, что разработала бэкдор для доставки автоматических обновлений прошивки подключенных точек доступа через FTP.
Люди, использующие одно из этих уязвимых устройств, должны обязательно установить исправление безопасности, как только оно станет доступным. Даже если на устройствах используется версия, предшествующая 4.6, пользователям все равно следует установить обновление, поскольку оно устраняет отдельные уязвимости, обнаруженные в более ранних выпусках. Отключение удаленного администрирования также является хорошей идеей, если для этого нет веской причины.
