Różności i nowinki technologia

Hakerzy wykorzystują backdoora wbudowany w urządzenia Zyxel. Czy jesteś załatany?

Obraz promocyjny routera komputerowego.

Hakerzy próbują wykorzystać niedawno odkryte tylne drzwi wbudowane w wiele modeli urządzeń Zyxel, które setki tysięcy osób i firm używają jako VPN, zapory ogniowe i bezprzewodowe punkty dostępowe.

Backdoor ma postać nieudokumentowanego konta użytkownika z pełnymi prawami administracyjnymi, które jest zakodowane na stałe w oprogramowaniu sprzętowym urządzenia, poinformował niedawno badacz z holenderskiej firmy zajmującej się bezpieczeństwem Eye Control. Konto, które używa nazwy użytkownika zyfwp, jest dostępne za pośrednictwem protokołu SSH lub interfejsu internetowego.

Poważna luka

Badacz ostrzegł, że konto naraża użytkowników na znaczne ryzyko, zwłaszcza jeśli zostało użyte do wykorzystania innych luk w zabezpieczeniach, takich jak Zerologon, krytyczna luka w systemie Windows, która pozwala atakującym natychmiast stać się wszechmocnymi administratorami sieci.

„Ponieważ użytkownik zyfwp ma uprawnienia administratora, jest to poważna luka” – napisał badacz Eye Control Niels Teusink. „Osoba atakująca może całkowicie naruszyć poufność, integralność i dostępność urządzenia. Ktoś mógłby na przykład zmienić ustawienia zapory sieciowej, aby zezwolić lub zablokować określony ruch. Mogą również przechwytywać ruch lub tworzyć konta VPN, aby uzyskać dostęp do sieci za urządzeniem. W połączeniu z luką w zabezpieczeniach, taką jak Zerologon, może to mieć katastrofalne skutki dla małych i średnich firm ”.

Andrew Morris, założyciel i dyrektor generalny firmy zajmującej się bezpieczeństwem GreyNoise, powiedział w poniedziałek, że czujniki jego firmy wykryły zautomatyzowane ataki wykorzystujące dane uwierzytelniające konta w celu zalogowania się na podatne urządzenia. W większości lub we wszystkich próbach logowania osoby atakujące po prostu dodawały dane uwierzytelniające do istniejących list domyślnych kombinacji nazwy użytkownika / hasła używanych do włamywania się do niezabezpieczonych routerów i innych typów urządzeń.

„Z definicji wszystko, co widzimy, musi być oportunistyczne” – powiedział Morris, co oznacza, że ​​osoby atakujące wykorzystują dane uwierzytelniające do adresów IP w sposób pseudolosowy, mając nadzieję na znalezienie podłączonych urządzeń, które są podatne na przejęcie. GreyNoise wdraża czujniki gromadzenia danych w setkach centrów danych na całym świecie, aby monitorować próby skanowania i eksploatacji w całym Internecie.

Próby logowania, które widzi GreyNoise, mają miejsce za pośrednictwem połączeń SSH, ale badacz Eye Control Teusink powiedział, że dostęp do nieudokumentowanego konta można uzyskać również za pomocą interfejsu internetowego. Badacz powiedział, że ostatnie skanowanie wykazało, że ponad 100 000 urządzeń Zyxel ujawniło interfejs sieciowy w Internecie.

Teusink powiedział, że wygląda na to, że backdoor został wprowadzony w wersji oprogramowania 4.39, która została wydana kilka tygodni temu. Skan urządzeń Zyxel w Holandii wykazał, że około 10 procent z nich używało tej podatnej na ataki wersji. Zyxel wydał poradnik bezpieczeństwa, w którym odnotował konkretne modele urządzeń, których dotyczy problem. Zawierają:

Firewalle

  • Seria ATP z oprogramowaniem ZLD V4.60
  • Seria USG z oprogramowaniem ZLD V4.60 ZLD
  • Seria USG FLEX z oprogramowaniem ZLD V4.60
  • Seria VPN z oprogramowaniem ZLD V4.60

Kontrolery AP

  • NXC2500 z oprogramowaniem sprzętowym od V6.00 do V6.10
  • NXC5500 z oprogramowaniem sprzętowym od V6.00 do V6.10

W przypadku modeli zapory dostępna jest już poprawka. Tymczasem kontrolerzy AP mają otrzymać poprawkę w piątek. Zyxel powiedział, że zaprojektował backdoor do dostarczania automatycznych aktualizacji oprogramowania układowego do podłączonych punktów dostępowych przez FTP.

Osoby korzystające z jednego z tych urządzeń, których dotyczy problem, powinny upewnić się, że zainstalują poprawkę bezpieczeństwa, gdy tylko będzie dostępna. Nawet jeśli na urządzeniach działa wersja starsza niż 4.6, użytkownicy powinni nadal zainstalować aktualizację, ponieważ naprawia ona oddzielne luki znalezione we wcześniejszych wersjach. Wyłączenie administracji zdalnej jest również dobrym pomysłem, chyba że istnieje dobry powód, aby na to zezwolić.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook