Backdoor trovate in diverse VPN
Buongiorno cari lettori, oggi parleremo di una backdoor che è stata trovata nei gateway di diverse VPN.
I ricercatori di Eye Control security hanno scoperto un account backdoor a livello di amministrazione con codice fisso come un binario del firmware Zyxel che ha rivelato nome utente e password.
Backdoor a livello di amministrazione Scoperto in Zyxel Firewalls
Il team di ricercatori della società olandese di sicurezza informatica Eye Control ha identificato un account backdoor in oltre 100.000 firewall Zyxel, controller di punti di accesso e gateway VPN. L'account hard-coded, a livello di amministrazione, consente agli aggressori di ottenere l'accesso root ai dispositivi attraverso il pannello di amministrazione web o l'interfaccia SSH. Zyxel è un produttore di dispositivi di rete con sede a Hsinchu, Taiwan.
Vulnerabilità facile da sfruttare
I ricercatori hanno dichiarato che si tratta di un problema serio in termini di vulnerabilità, e i proprietari dei dispositivi devono aggiornare immediatamente i loro sistemi. Questo perché chiunque può sfruttarlo facilmente, dagli operatori di botnet DDoS ai gruppi di ransomware e agli hacker sponsorizzati dallo stato.
Abusando dell'account backdoor, i criminali informatici possono accedere ai dispositivi vulnerabili e infettare le reti interne per lanciare ulteriori attacchi. Un aggressore può accedere al dispositivo con privilegi amministrativi e compromettere facilmente i dispositivi di rete.
Il ricercatore Niels Teusink afferma che si tratta di una grave vulnerabilità perché un attore di minacce può lanciare una serie di attacchi e' compromettere completamente la riservatezza, l'integrità e la disponibilità del dispositivo.
"Qualcuno potrebbe, ad esempio, modificare le impostazioni del firewall per consentire o bloccare un certo traffico. Potrebbe anche intercettare il traffico o creare account VPN per accedere alla rete dietro il dispositivo. In combinazione con una vulnerabilità come Zerologon, questo potrebbe essere devastante per le piccole e medie imprese", ha dichiarato Teusink in un post del blog.
Ampia gamma di dispositivi Zyxel a rischio
La vulnerabilità è stata definita come un difetto critico del firmware e tracciata come CVE-2020-29583 con un punteggio di 7,8 CVSS. È stata trovata nel firmware dello Zyxel. Il difetto colpisce una vasta gamma di dispositivi Zyxel, principalmente quelli che utilizzano la versione 4.0. Il modulo interessato include anche dispositivi Zyxel di livello enterprise. Questo include l'Unified Security Gateway (USG), la serie ATP, la serie NCX, la serie USG FLEX e la serie VPN.
Circa il 10% dei 1000 dispositivi nei Paesi Bassi utilizza la versione del firmware interessata, ha dichiarato Teusink, motivo per cui la vulnerabilità è considerata critica. La maggior parte dei dispositivi interessati sono utilizzati ai margini della rete dell'azienda taiwanese. Se compromessa, gli aggressori possono facilmente lanciare nuovi attacchi contro gli host interni.
Zyxel ha rilasciato una patch
Teusink ha notificato a Zyxel la vulnerabilità il 29 novembre. Il 18 dicembre la società ha rilasciato una patch del firmware, 'ZLD V4.60 Patch1'. Le patch sono attualmente disponibili per le serie USG FLEx, ATP, USG e VPN. La patch per la serie NCX sarà rilasciata nell'aprile 2021.
Consulenza ufficiale sulla sicurezza dell'azienda
L'azienda ha anche pubblicato un avviso che spiegava che il difetto era presente in un account non documentato e codificato, 'zyfwp', con una password immutabile, 'PrOw!aN_fXp'. La password era memorizzata in chiaro e poteva essere potenzialmente sfruttata da una terza parte malintenzionata.
Secondo Zyxel, le credenziali hardcoded sono state posizionate per fornire automaticamente gli aggiornamenti del firmware via FTP ai punti di accesso collegati. L'azienda affronterà questo problema nei suoi controller AP (access point) con un V6.10 Patch 1 che sarà rilasciato nell'aprile 2021. Gli utenti sono invitati ad aggiornarsi all'ultimo firmware dell'azienda per mantenere i loro dispositivi protetti.
