Síťové prvky Zyxel trpí backdoorem

Firewally a brány značky Zyxel jsou přístupné kyberútokům přes zadní vrátka. Kupodivu je neotevírá žádný malware, který by je napadl, ale jsou tam přítomna přímo z výroby. Zyxel se nejen domníval, že je dobrým nápadem v těchto prvcích skrýt stínový administrátorský účet, ale navíc ho i tristně zpřístupnil všem útočníkům odkrytím přihlašovacích údajů. Jak lze tolik chyb navršit v jedné kauze?

 

Niels Teusink, expert z bezpečnostní firmy EYE, si všiml závažné bezpečnostní chyby v zabezpečení prvků Zyxelů. Objevil ji při testování vlastního zařízení: 

„Při zkoumání svého Zyxelu USG40 jsem byl velice překvapen, když jsem objevil uživatelský účet zyfwp i s hashem hesla v poslední verzi firmwaru (verze 4.60 s nultou záplatou). Heslo plně viditelné v prostém textu bylo přítomné v jednom z binárních souborů. Ještě více mne pak překvapilo, že tento účet fungoval jak na SSH, tak ve webovém rozhraní:“ 

$ ssh zyfwp@192.168.1.252
Password: Pr*******Xp
Router> show users current
No: 1
  Name: zyfwp
  Type: admin
(...)
Router>

Nejenže byly přihlašovacího údaje tohoto účtu volně dostupné komukoliv, kdo by se na síťové prvky Zyxel pokusil zaútočit, navíc uživatel zařízení ani neví, že tento účet na jeho zařízení je. Teusink říká, že uživatel není v administračním rozhraní viditelný a jeho heslo nelze změnit. Úplná díra v zabezpečení se dle všeho objevila až verzi firmwaru 4.60, neboť v předchozí verzi 4.39 je sice již vytvořen administrátorský účet zyfwp, alespoň však chybí odhalení jeho hesla v plaintextu. 

Komplikace

Chyba v podobě tzv. backdoor account dostala označení CVE-2020-29583. Bezpečnostní riziko chyby zvyšuje fakt, že webová rozhraní administrace operují na stejném portu jako SSL VPN. A proto je možné vést kyberútok nejen zevnitř sítě, ale i z vnějšího internetu. Teusinkovi se pomocí veřejných dat Project Sonar podařilo identifikovat na 3.000 takto zranitelných zařízení v Holandsku a přes 100 000 celosvětově.

Teusink odhaduje, že celkem je backdoor účtem postiženo 10 % všech dotčených zařízení, a to sice v důsledku toho, že ho obsahuje právě poslední aktualizace firmwaru, která proběhla nedávno. Naopak nepříliš příznivou zprávou je to, že chyba byla po objevení relativně brzo zveřejněna a všechna neaktualizovaná zařízení jsou tak v přímém ohrožení.

Seznam zařízení Zyxel, pro které už je dostupná záplata

Chyba CVE-2020-29583 se týká firewallů, VPN routerů a řídících jednotek AP. Zyxel už nabízí záplatu pro tato zařízení:

• USG
  • USG20-VPN
  • USG20W-VPN
  • USG40
  • USG40W
  • USG60
  • USG60W
  • USG110
  • USG210
  • USG310
  • USG1100
  • USG1900
  • USG2200
  • ZyWALL110
  • ZyWALL310
  • ZyWALL1100
• ATP
  • ATP100
  • ATP100W
  • ATP200
  • ATP500
  • ATP700
  • ATP800
• VPN
  • VNP50
  • VPN100
  • VPN300
  • VPN000
• USG FLEX
  • FLEX 100
  • FLEX 100W
  • FLEX 200
  • FLEX 500
  • FLEX 700

Nezáplatované AP controllery

Nezáplatované aktuálně jsou řídící jednotky AP NXC2500 a NXC5500 provozující firmware ve verzích V6.00 až V6.10. Záplata bude dostupná 8. ledna 2021. 

Aktualizace firmwaru

I když jsou dostupné záplaty v podobě aktualizace firmwaru jednotlivých zařízení, je nutno často aktualizovat manuálně. Administrace prvků sice automatickou aktualizaci nabízí, ale ta ve výchozím nastavení  není zapnuta. 

Proč vůbec firmware obsahuje stínový administrátorský účet?

Zyxel tvrdí, že jde o účet implementovaný kvůli poskytování automatických aktualizací přes FTP. Fakticky by tam měl být kvůli tomu, aby ony aktualizace mohli stahovat další uživatelé v síti podřazené danému síťovému prvku. Přítomnost takového účtu je pochybná. Odhalení přístupových údajů účtu v plaintextu je v podstatě neomluvitelným narušením zabezpečení dodávaného produktu.

Užitečné odkazy

• Aktualizovaný firmware pro USG/ATP/VPN/USG FLEX zařízení
• Dokumentace zranitelnosti CVE-2020-29583
• Dokumentace zranitelnosti na straně společnosti EYE

Zdroje

• EyeControl.nl
• Zyxel Community Biz Forum
• Zyxel.com
• Backdoor by monkik from the Noun Project

 

Daniel Beránek, 05.01.2021 16:46

 

 

 

	Chrome pracuje na uživatelském rozhraní pro experimenty Vývojáři Google Chrome se rozhodli některé z experimentálních funkcí prohlížeče otestovat na širším vzorku pokusných uživatelů. Nabídnou uživatelský přístup přímo přes rozhraní browseru k těm experimentům, pro které je téměř...
	NIX.CZ je součástí kritické infrastruktury ČR Internetový uzel NIX.CZ byl zařazen mezi subjekty kritické informační infrastruktury České republiky. Rozhodl o tom Národní úřad pro kybernetickou a informační bezpečnost, v jehož kompetenci jsou prvky spadající do oblasti informačních technologií. NIX.CZ...
	Vlastník Jobs.cz a Práce.cz akvíruje ajťácký Techloop.io Společnost LMC vlastnící mj. jiné největší české HR projekty Jobs.cz a Práce.cz akvíruje platformu Techloop.io, která se specializuje na párování IT odborníků a firem. Získává tak černého koně ve vysokorozpočtové oblasti...
	Firefox chystá vzhled Proton. Jak ho aktivovat? S novým rokem se design Firefoxu změní z Photon na Proton. Označovací změna je tak malá, že ji mnozí považují pouze za překlep, nikoliv ovšem Mozilla. Ta na novém vzhledu pracuje už od listopadu 2020. Rozhodné datum pro uvolnění ostré verze je plánováno na...