Затронутые модели включают множество популярных продуктов Zyxel из линейки устройств бизнес-класса, обычно развертываемых в частных корпоративных и государственных сетях.
https://www.securitylab.ru/upload/ib...b64cbdd1d0.jpg
В устройствах присутствует жестко встроенная учетная запись zyfwp с неизменяемым паролем. Удаленный злоумышленник, не прошедший проверку подлинности, может получить доступ к уязвимой системе через ssh или веб-интерфейс, используя жестко заданные учетные данные, и получить привилегии администратора. По шкале оценивания опасности CVSS уязвимость получила максимальные 10 баллов.
Code:
<pre class="alt2" dir="ltr" style="
margin: 0px;
padding: 6px;
border: 1px solid rgb(0, 0, 0);
width: 640px;
height: 146px;
text-align: left;
overflow: auto;
background: rgb(37, 37, 37) none repeat scroll 0% 0%;
border-radius: 5px;
font-size: 11px;
text-shadow: none;">$ ssh [email protected]
Password: Pr*******Xp
Router&gt; show users current
No: 1
Name: zyfwp
Type: admin
(...)
Router&gt;</pre>
По словам Zyxel, учетная запись не связана с какой-либо злонамеренной активностью, а использовалась только для доставки автоматических обновлений прошивки через FTP. Zyxel рекомендует немедленно установить соответствующие обновления. Затронутые модели включают множество популярных продуктов Zyxel из линейки устройств бизнес-класса, обычно развертываемых в частных корпоративных и государственных сетях. Сюда входят следующие устройства:
<ul><li>серия Advanced Threat Protection (ATP) - используется в основном в качестве межсетевого экрана</li>
<li>серия Unified Security Gateway (USG) - используется как гибридный межсетевой экран и VPN-шлюз</li>
<li>серия USG FLEX - используется как гибридный межсетевой экран и VPN-шлюз</li>
<li>серия VPN - используется в качестве VPN шлюза</li>
<li>серия NXC - используется в качестве WLAN контроллера точки доступа</li>
</ul>
Компания Zyxel была проинформирована о проблеме в конце ноябре и частично устранила уязвимость 18 декабря. Уязвимость устранена в прошивке ZLD V4.60 Patch1, а для контроллеров точки доступа NXC2500 и NXC5500 исправление будет выпущено в апреле 2021 года.
Эксперты по безопасности предупреждают, что любой, от операторов DDoS ботнетов до спонсируемых государством хакерских групп и банд вымогателей, может использовать эту встроенную учетную запись для доступа к уязвимым устройствам и дальнейшему проникновению во внутренние сети. Проблему усугубляет то, что VPN служба и веб-интерфейс для управления устройством по умолчанию используют 443 порт, из-за чего многие пользователи оставляли открытым 443 порт для внешних запросов и, таким образом, кроме точки подключения к VPN, оставляли и возможность входа в веб-интерфейс. По предварительной оценке в сети доступно более 100 тысяч уязвимых устройств с открытым 443 портом.
В прошлом году компания Zyxel исправила в своих сетевых хранилищах (NAS) критическую уязвимость, уже эксплуатируемую киберпреступниками в реальных атаках. Уязвимость CVE-2020-9054 позволяла неавторизованному злоумышленнику удаленно выполнить произвольный код. Благодаря этому атакующий может проэксплуатировать уязвимость, включив в имя пользователя определенные символы, и внедрять команды с привилегиями web-сервера. Затем с помощью встроенной в устройство утилиты setuid он может запускать команды с привилегиями суперпользователя.