В оборудовании Zyxel выявлено наличие бэкдора (CVE-2020-29583), позволяющего удалённо получить доступ к устройству с правами администратора. Проблема вызвана наличием встроенной учётной записи "zyfwp", дающей возможность подключиться к системе с предопределённым паролем "PrOw!aN_fXp" по протоколу SSH или через web-интерфейс.
ssh zyfwp@192.168.1.252
Password: PrOw!aN_fXp
Router> show users current
No: 1
Name: zyfwp
Type: admin
(...)
Router>
По словам представителей компания Zyxel бэкдор не был следствием вредоносной активности сторонних злоумышленников, а представлял собой штатную функцию, применяемую для автоматической загрузки обновлений прошивки через протокол FTP. Примечательно, что предопределённый пароль не был зашифрован и был замечен исследователями безопасности из компании Eye Control при изучении текстовых фрагментов, встречающихся в образе прошивки. В базе пользователей пароль хранился в форме хэша, а дополнительная учётная запись исключалась из списка пользователей, но в одном из исполняемых файлов пароль присутствовал в открытом виде. Компания Zyxel была информирована о проблеме в конце ноября и частично устранила проблему 18 декабря.
Проблеме подвержены межсетевые экраны Zyxel серий ATP (Advanced Threat Protection), USG (Unified Security Gateway), USG FLEX и VPN, а также контроллеры точек доступа NXC2500 и NXC5500. В межсетевых экранах проблема устранена в обновлении прошивки V4.60 Patch1 (утверждается, что предопределённый пароль появился только в прошивке V4.60 Patch0, а более старые версии прошивок не подвержены проблеме, но в старых прошивках присутствуют другие уязвимости, через которые можно атаковать устройства). В точках доступа исправление будет включено в обновление V6.10 Patch1, намеченное на апрель 2021 года. Всем пользователям проблемных устройств рекомендуется незамедлительно обновить прошивку или закрыть доступ к сетевым портам на уровне межсетевого экрана.
Проблему усугубляет то, что VPN-сервис и web-интерфейс для управления устройством по умолчанию принимают соединения на одном сетевом порту 443, из-за чего многие пользователи оставляли открытым 443 порт для внешних запросов и, таким образом, кроме точки подключения к VPN, оставляли и возможность входа в web-интерфейс. По предварительной оценке для подключения через сетевой порт 443 в сети доступны более 100 тысяч устройств, содержащих выявленный бэкдор.
Источник статьи: https://www.opennet.ru/opennews/art.shtml?num=54343
ssh zyfwp@192.168.1.252
Password: PrOw!aN_fXp
Router> show users current
No: 1
Name: zyfwp
Type: admin
(...)
Router>
По словам представителей компания Zyxel бэкдор не был следствием вредоносной активности сторонних злоумышленников, а представлял собой штатную функцию, применяемую для автоматической загрузки обновлений прошивки через протокол FTP. Примечательно, что предопределённый пароль не был зашифрован и был замечен исследователями безопасности из компании Eye Control при изучении текстовых фрагментов, встречающихся в образе прошивки. В базе пользователей пароль хранился в форме хэша, а дополнительная учётная запись исключалась из списка пользователей, но в одном из исполняемых файлов пароль присутствовал в открытом виде. Компания Zyxel была информирована о проблеме в конце ноября и частично устранила проблему 18 декабря.
Проблеме подвержены межсетевые экраны Zyxel серий ATP (Advanced Threat Protection), USG (Unified Security Gateway), USG FLEX и VPN, а также контроллеры точек доступа NXC2500 и NXC5500. В межсетевых экранах проблема устранена в обновлении прошивки V4.60 Patch1 (утверждается, что предопределённый пароль появился только в прошивке V4.60 Patch0, а более старые версии прошивок не подвержены проблеме, но в старых прошивках присутствуют другие уязвимости, через которые можно атаковать устройства). В точках доступа исправление будет включено в обновление V6.10 Patch1, намеченное на апрель 2021 года. Всем пользователям проблемных устройств рекомендуется незамедлительно обновить прошивку или закрыть доступ к сетевым портам на уровне межсетевого экрана.
Проблему усугубляет то, что VPN-сервис и web-интерфейс для управления устройством по умолчанию принимают соединения на одном сетевом порту 443, из-за чего многие пользователи оставляли открытым 443 порт для внешних запросов и, таким образом, кроме точки подключения к VPN, оставляли и возможность входа в web-интерфейс. По предварительной оценке для подключения через сетевой порт 443 в сети доступны более 100 тысяч устройств, содержащих выявленный бэкдор.
Источник статьи: https://www.opennet.ru/opennews/art.shtml?num=54343