• janvier 18, 2021

Compte backdoor découvert dans plus de 100000 pare-feu Zyxel

Plus de 100000 pare-feu, passerelles VPN et contrôleurs de points d’accès Zyxel contiennent un compte de porte dérobée de niveau administrateur codé en dur qui peut accorder aux attaquants un accès root aux appareils via l’interface SSH ou le panneau d’administration Web.

Le compte de porte dérobée, découvert par une équipe de chercheurs néerlandais en sécurité d’Eye Control, est considéré comme aussi mauvais que possible en termes de vulnérabilités.

Il est conseillé aux propriétaires d’appareils de mettre à jour les systèmes dès que le temps le permet.

Les experts en sécurité avertissent que quiconque, des opérateurs de botnet DDoS aux groupes de piratage et aux gangs de ransomwares parrainés par l’État, pourrait abuser de ce compte de porte dérobée pour accéder à des appareils vulnérables et basculer vers des réseaux internes pour des attaques supplémentaires.

Les modules concernés incluent de nombreux appareils de niveau entreprise


Les modèles concernés incluent de nombreux produits haut de gamme de Zyxel de sa gamme d’appareils de niveau professionnel, généralement déployés sur les réseaux d’entreprises privées et gouvernementales.

Cela inclut les gammes de produits Zyxel telles que:

la série Advanced Threat Protection (ATP) – utilisée principalement comme pare-feu
la série Unified Security Gateway (USG) – utilisée comme pare-feu hybride et passerelle VPN
la série USG FLEX – utilisée comme pare-feu hybride et passerelle VPN
la série VPN – utilisée comme passerelle VPN
la série NXC – utilisée comme contrôleur de point d’accès WLAN

Beaucoup de ces appareils sont utilisés à la périphérie du réseau d’une entreprise et, une fois compromis, permettent aux attaquants de pivoter et de lancer de nouvelles attaques contre les hôtes internes.

Les correctifs ne sont actuellement disponibles que pour les séries ATP, USG, USG Flex et VPN. Des correctifs pour la série NXC sont attendus en avril 2021, selon un avis de sécurité de Zyxel.

Le compte Backdoor était facile à découvrir


L’installation de correctifs supprime le compte de porte dérobée, qui, selon les chercheurs d’Eye Control, utilise le nom d’utilisateur « zyfwp » et le mot de passe « PrOw! AN_fXp ».

« Le mot de passe en clair était visible dans l’un des binaires du système », ont déclaré les chercheurs néerlandais dans un rapport publié avant les vacances de Noël 2020.

Les chercheurs ont déclaré que le compte avait un accès root à l’appareil car il était utilisé pour installer des mises à jour du micrologiciel sur d’autres appareils Zyxel interconnectés via FTP.

ZYXEL DEVRAIT AVOIR TIRÉ DE L’INCIDENT DE BACKDOOR 2016


Dans une interview avec ZDNet cette semaine, le chercheur en sécurité IoT Ankit Anubhav a déclaré que Zyxel aurait dû tirer la leçon d’un incident précédent survenu en 2016.

Suivi comme CVE-2016-10401, les appareils Zyxel publiés à l’époque contenaient un mécanisme de porte dérobée secret qui permettait à quiconque d’élever n’importe quel compte sur un appareil Zyxel au niveau racine en utilisant le mot de passe SU (super-utilisateur) «zyad5001».

« C’était surprenant de voir encore un autre identifiant codé en dur, d’autant plus que Zyxel est bien conscient que la dernière fois que cela s’est produit, il a été abusé par plusieurs botnets », a déclaré Anubhav à ZDNet.

« CVE-2016-10401 est toujours dans l’arsenal de la plupart des botnets IoT basés sur les attaques par mot de passe », a déclaré le chercheur.

Mais cette fois-ci, les choses sont pires avec CVE-2020-29583, l’identifiant CVE du compte backdoor 2020.

Anubhav a déclaré à ZDNet que si le mécanisme de porte dérobée de 2016 exigeait que les attaquants aient d’abord accès à un compte à faibles privilèges sur un appareil Zyxel – afin qu’ils puissent l’élever à la racine -, la porte dérobée 2020 est pire car elle peut accorder aux attaquants un accès direct à l’appareil. sans aucune condition particulière.

« En outre, contrairement à l’exploit précédent, qui était utilisé uniquement dans Telnet, cela nécessite encore moins d’expertise car on peut directement essayer les informations d’identification sur le panneau hébergé sur le port 443 », a déclaré Anubhav.

En outre, Anubhav souligne également que la plupart des systèmes affectés sont également très variés, par rapport au problème de porte dérobée de 2016, qui n’a impacté que les routeurs domestiques.

Les attaquants ont désormais accès à un plus large éventail de victimes, dont la plupart sont des cibles d’entreprise, car les appareils vulnérables sont principalement commercialisés auprès des entreprises comme un moyen de contrôler qui peut accéder aux intranets et aux réseaux internes à partir de sites distants.

UNE NOUVELLE VAGUE DE RANSOMWARE ET D’ESPIONNAGE?


C’est un gros problème dans l’ensemble, car les vulnérabilités des pare-feu et des passerelles VPN ont été l’une des principales sources d’attaques de ransomwares et d’opérations de cyberespionnage en 2019 et 2020.

Les failles de sécurité des appareils Pulse Secure, Fortinet, Citrix, MobileIron et Cisco ont souvent été exploitées pour attaquer les entreprises et les réseaux gouvernementaux.

La nouvelle porte dérobée Zyxel pourrait exposer un tout nouvel ensemble d’entreprises et d’agences gouvernementales au même type d’attaques que nous avons vu au cours des deux dernières années.

Read Previous

Apple a retiré Parler de l’App Store pour incitation à la violence

Read Next

Citrix touché par une cyberattaque DDoS

Leave a Reply

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *