Síťové prvky Zyxel trpí backdoorem

Firewally a brány značky Zyxel jsou přístupné kyberútokům přes zadní vrátka. Kupodivu je neotevírá žádný malware, který by je napadl, ale jsou tam přítomna přímo z výroby. Zyxel se nejen domníval, že je dobrým nápadem v těchto prvcích skrýt stínový administrátorský účet, ale navíc ho i tristně zpřístupnil všem útočníkům odkrytím přihlašovacích údajů. Jak lze tolik chyb navršit v jedné kauze?

 

Niels Teusink, expert z bezpečnostní firmy EYE, si všiml závažné bezpečnostní chyby v zabezpečení prvků Zyxelů. Objevil ji při testování vlastního zařízení: 

„Při zkoumání svého Zyxelu USG40 jsem byl velice překvapen, když jsem objevil uživatelský účet zyfwp i s hashem hesla v poslední verzi firmwaru (verze 4.60 s nultou záplatou). Heslo plně viditelné v prostém textu bylo přítomné v jednom z binárních souborů. Ještě více mne pak překvapilo, že tento účet fungoval jak na SSH, tak ve webovém rozhraní:“ 

$ ssh zyfwp@192.168.1.252
Password: Pr*******Xp
Router> show users current
No: 1
  Name: zyfwp
  Type: admin
(...)
Router>

Nejenže byly přihlašovacího údaje tohoto účtu volně dostupné komukoliv, kdo by se na síťové prvky Zyxel pokusil zaútočit, navíc uživatel zařízení ani neví, že tento účet na jeho zařízení je. Teusink říká, že uživatel není v administračním rozhraní viditelný a jeho heslo nelze změnit. Úplná díra v zabezpečení se dle všeho objevila až verzi firmwaru 4.60, neboť v předchozí verzi 4.39 je sice již vytvořen administrátorský účet zyfwp, alespoň však chybí odhalení jeho hesla v plaintextu. 

Komplikace

Chyba v podobě tzv. backdoor account dostala označení CVE-2020-29583. Bezpečnostní riziko chyby zvyšuje fakt, že webová rozhraní administrace operují na stejném portu jako SSL VPN. A proto je možné vést kyberútok nejen zevnitř sítě, ale i z vnějšího internetu. Teusinkovi se pomocí veřejných dat Project Sonar podařilo identifikovat na 3.000 takto zranitelných zařízení v Holandsku a přes 100 000 celosvětově.

Teusink odhaduje, že celkem je backdoor účtem postiženo 10 % všech dotčených zařízení, a to sice v důsledku toho, že ho obsahuje právě poslední aktualizace firmwaru, která proběhla nedávno. Naopak nepříliš příznivou zprávou je to, že chyba byla po objevení relativně brzo zveřejněna a všechna neaktualizovaná zařízení jsou tak v přímém ohrožení.

Seznam zařízení Zyxel, pro které už je dostupná záplata

Chyba CVE-2020-29583 se týká firewallů, VPN routerů a řídících jednotek AP. Zyxel už nabízí záplatu pro tato zařízení:

• USG
  • USG20-VPN
  • USG20W-VPN
  • USG40
  • USG40W
  • USG60
  • USG60W
  • USG110
  • USG210
  • USG310
  • USG1100
  • USG1900
  • USG2200
  • ZyWALL110
  • ZyWALL310
  • ZyWALL1100
• ATP
  • ATP100
  • ATP100W
  • ATP200
  • ATP500
  • ATP700
  • ATP800
• VPN
  • VNP50
  • VPN100
  • VPN300
  • VPN000
• USG FLEX
  • FLEX 100
  • FLEX 100W
  • FLEX 200
  • FLEX 500
  • FLEX 700

Nezáplatované AP controllery

Nezáplatované aktuálně jsou řídící jednotky AP NXC2500 a NXC5500 provozující firmware ve verzích V6.00 až V6.10. Záplata bude dostupná 8. ledna 2021. 

Aktualizace firmwaru

I když jsou dostupné záplaty v podobě aktualizace firmwaru jednotlivých zařízení, je nutno často aktualizovat manuálně. Administrace prvků sice automatickou aktualizaci nabízí, ale ta ve výchozím nastavení  není zapnuta. 

Proč vůbec firmware obsahuje stínový administrátorský účet?

Zyxel tvrdí, že jde o účet implementovaný kvůli poskytování automatických aktualizací přes FTP. Fakticky by tam měl být kvůli tomu, aby ony aktualizace mohli stahovat další uživatelé v síti podřazené danému síťovému prvku. Přítomnost takového účtu je pochybná. Odhalení přístupových údajů účtu v plaintextu je v podstatě neomluvitelným narušením zabezpečení dodávaného produktu.

Užitečné odkazy

• Aktualizovaný firmware pro USG/ATP/VPN/USG FLEX zařízení
• Dokumentace zranitelnosti CVE-2020-29583
• Dokumentace zranitelnosti na straně společnosti EYE

Zdroje

• EyeControl.nl
• Zyxel Community Biz Forum
• Zyxel.com
• Backdoor by monkik from the Noun Project

 

Daniel Beránek, 05.01.2021 16:46

 

 

 

	AI generátor obrázků Freepik: fotorealističtější a rychlejší Aktualizace AI generátoru obrázků od Freepiku přináší revoluční zlepšení v rychlosti a fotorealističnosti, což umožní grafickým designérům, marketérům a grafikům tvorbu vizuálů s nepřekonatelnou přesností a detaily. Jaké možnosti...
	Spotify nabídne AI playlisty Spotify rozšiřuje hranice personalizované hudby zaváděním AI playlistů, což je beta funkce umožňující Premium uživatelům ve Spojeném království a Austrálii transformovat jakýkoliv nápad na perfektně na míru šitý playlist. Díky...
	Microsoft a OpenAI postaví datacentrum se superpočítačem za 100 mld. USD Microsoft a OpenAI chystají postavit datacentrum se superpočítačem za 100 miliard dolarů. Ambiciózní projekt, známý jako Stargate, slibuje posunout hranice toho, co je možné v datovém zpracování a umělé inteligenci. S plánovaným spuštěním...
	Google zvažuje zpoplatnění AI vyhledávání Svět technologií je opět v pohybu, přičemž gigant Google vážně uvažuje o zásadním kroku - zpoplatnění pokročilých funkcí vyhledávání, které využívají umělou inteligenci (AI). Takovýto krok by mohl změnit základy toho, jak...