[ Zavřít ] 


 

RSS Kanál

 

Síťové prvky Zyxel trpí backdoorem

Firewally a brány značky Zyxel jsou přístupné kyberútokům přes zadní vrátka. Kupodivu je neotevírá žádný malware, který by je napadl, ale jsou tam přítomna přímo z výroby. Zyxel se nejen domníval, že je dobrým nápadem v těchto prvcích skrýt stínový administrátorský účet, ale navíc ho i tristně zpřístupnil všem útočníkům odkrytím přihlašovacích údajů. Jak lze tolik chyb navršit v jedné kauze?

 

Zadní vrátka v systémech síťových prvků Zyxel otevírá backdoor account (Zdroj: The Noun Project)

Niels Teusink, expert z bezpečnostní firmy EYE, si všiml závažné bezpečnostní chyby v zabezpečení prvků Zyxelů. Objevil ji při testování vlastního zařízení: 

„Při zkoumání svého Zyxelu USG40 jsem byl velice překvapen, když jsem objevil uživatelský účet zyfwp i s hashem hesla v poslední verzi firmwaru (verze 4.60 s nultou záplatou). Heslo plně viditelné v prostém textu bylo přítomné v jednom z binárních souborů. Ještě více mne pak překvapilo, že tento účet fungoval jak na SSH, tak ve webovém rozhraní:“ 

$ ssh zyfwp@192.168.1.252
Password: Pr*******Xp
Router> show users current
No: 1
  Name: zyfwp
  Type: admin
(...)
Router>

Nejenže byly přihlašovacího údaje tohoto účtu volně dostupné komukoliv, kdo by se na síťové prvky Zyxel pokusil zaútočit, navíc uživatel zařízení ani neví, že tento účet na jeho zařízení je. Teusink říká, že uživatel není v administračním rozhraní viditelný a jeho heslo nelze změnit. Úplná díra v zabezpečení se dle všeho objevila až verzi firmwaru 4.60, neboť v předchozí verzi 4.39 je sice již vytvořen administrátorský účet zyfwp, alespoň však chybí odhalení jeho hesla v plaintextu. 

Komplikace

Chyba v podobě tzv. backdoor account dostala označení CVE-2020-29583. Bezpečnostní riziko chyby zvyšuje fakt, že webová rozhraní administrace operují na stejném portu jako SSL VPN. A proto je možné vést kyberútok nejen zevnitř sítě, ale i z vnějšího internetu. Teusinkovi se pomocí veřejných dat Project Sonar podařilo identifikovat na 3.000 takto zranitelných zařízení v Holandsku a přes 100 000 celosvětově.

Teusink odhaduje, že celkem je backdoor účtem postiženo 10 % všech dotčených zařízení, a to sice v důsledku toho, že ho obsahuje právě poslední aktualizace firmwaru, která proběhla nedávno. Naopak nepříliš příznivou zprávou je to, že chyba byla po objevení relativně brzo zveřejněna a všechna neaktualizovaná zařízení jsou tak v přímém ohrožení.

Seznam zařízení Zyxel, pro které už je dostupná záplata

Chyba CVE-2020-29583 se týká firewallů, VPN routerů a řídících jednotek AP. Zyxel už nabízí záplatu pro tato zařízení:

  • USG
    • USG20-VPN
    • USG20W-VPN
    • USG40
    • USG40W
    • USG60
    • USG60W
    • USG110
    • USG210
    • USG310
    • USG1100
    • USG1900
    • USG2200
    • ZyWALL110
    • ZyWALL310
    • ZyWALL1100
  • ATP
    • ATP100
    • ATP100W
    • ATP200
    • ATP500
    • ATP700
    • ATP800
  • VPN
    • VNP50
    • VPN100
    • VPN300
    • VPN000
  • USG FLEX
    • FLEX 100
    • FLEX 100W
    • FLEX 200
    • FLEX 500
    • FLEX 700

Nezáplatované AP controllery

Nezáplatované aktuálně jsou řídící jednotky AP NXC2500NXC5500 provozující firmware ve verzích V6.00 až V6.10. Záplata bude dostupná 8. ledna 2021

Aktualizace firmwaru

I když jsou dostupné záplaty v podobě aktualizace firmwaru jednotlivých zařízení, je nutno často aktualizovat manuálně. Administrace prvků sice automatickou aktualizaci nabízí, ale ta ve výchozím nastavení  není zapnuta

Proč vůbec firmware obsahuje stínový administrátorský účet?

Zyxel tvrdí, že jde o účet implementovaný kvůli poskytování automatických aktualizací přes FTP. Fakticky by tam měl být kvůli tomu, aby ony aktualizace mohli stahovat další uživatelé v síti podřazené danému síťovému prvku. Přítomnost takového účtu je pochybná. Odhalení přístupových údajů účtu v plaintextu je v podstatě neomluvitelným narušením zabezpečení dodávaného produktu.

Užitečné odkazy

Zdroje

 

 

 

 

 

Mistral Small 3: malý, ale s velkými možnostmi

Francouzští vývojáři Mistral, známí svou láskou k open-source, přichází s novým AI modelem Mistral Small 3. S 24 miliardami parametrů je sice menší než konkurenční obři, zato však nabízí rychlost, nízké...

DeepSeek R1 a Qwen2.5-Max: přijde osvěžení AI z Číny?

Nové AI modely DeepSeek R1 a Qwen2.5-Max představují dva odlišné přístupy k tréninku a provozním nárokům, které by mohly zásadně ovlivnit budoucí vývoj umělé inteligence. Zatímco DeepSeek R1 se profiluje jako model postavený na...

Grok od xAI: první kroky v podobě samostatné aplikace

Grok, umělý inteligentní asistent od společnosti xAI, udělal další krok na cestě k větší dostupnosti. Coby samostatná aplikace se šíří na další platformy. Co Grok nabídne, kde ho již můžeme vyzkoušet a co teprve přijde? ...

VLC otitulkuje i neotitulkované... samozřejmě s pomocí AI

Nejhorší je, když najdete filmovou perlu, ale nemáte k ní titulky. A když už je najdete, tak nesedí. A i když ve VLC posunete jejich časování vůči časování zvukové stopy, tak se ty stopy neustále rozcházejí - a to dokonce nikoliv symetricky. To pak...


 
© 2005-2025 PS Media s.r.o. - digital world
 

reklama