Síťové prvky Zyxel trpí backdoorem

Firewally a brány značky Zyxel jsou přístupné kyberútokům přes zadní vrátka. Kupodivu je neotevírá žádný malware, který by je napadl, ale jsou tam přítomna přímo z výroby. Zyxel se nejen domníval, že je dobrým nápadem v těchto prvcích skrýt stínový administrátorský účet, ale navíc ho i tristně zpřístupnil všem útočníkům odkrytím přihlašovacích údajů. Jak lze tolik chyb navršit v jedné kauze?

 

Niels Teusink, expert z bezpečnostní firmy EYE, si všiml závažné bezpečnostní chyby v zabezpečení prvků Zyxelů. Objevil ji při testování vlastního zařízení: 

„Při zkoumání svého Zyxelu USG40 jsem byl velice překvapen, když jsem objevil uživatelský účet zyfwp i s hashem hesla v poslední verzi firmwaru (verze 4.60 s nultou záplatou). Heslo plně viditelné v prostém textu bylo přítomné v jednom z binárních souborů. Ještě více mne pak překvapilo, že tento účet fungoval jak na SSH, tak ve webovém rozhraní:“ 

$ ssh zyfwp@192.168.1.252
Password: Pr*******Xp
Router> show users current
No: 1
  Name: zyfwp
  Type: admin
(...)
Router>

Nejenže byly přihlašovacího údaje tohoto účtu volně dostupné komukoliv, kdo by se na síťové prvky Zyxel pokusil zaútočit, navíc uživatel zařízení ani neví, že tento účet na jeho zařízení je. Teusink říká, že uživatel není v administračním rozhraní viditelný a jeho heslo nelze změnit. Úplná díra v zabezpečení se dle všeho objevila až verzi firmwaru 4.60, neboť v předchozí verzi 4.39 je sice již vytvořen administrátorský účet zyfwp, alespoň však chybí odhalení jeho hesla v plaintextu. 

Komplikace

Chyba v podobě tzv. backdoor account dostala označení CVE-2020-29583. Bezpečnostní riziko chyby zvyšuje fakt, že webová rozhraní administrace operují na stejném portu jako SSL VPN. A proto je možné vést kyberútok nejen zevnitř sítě, ale i z vnějšího internetu. Teusinkovi se pomocí veřejných dat Project Sonar podařilo identifikovat na 3.000 takto zranitelných zařízení v Holandsku a přes 100 000 celosvětově.

Teusink odhaduje, že celkem je backdoor účtem postiženo 10 % všech dotčených zařízení, a to sice v důsledku toho, že ho obsahuje právě poslední aktualizace firmwaru, která proběhla nedávno. Naopak nepříliš příznivou zprávou je to, že chyba byla po objevení relativně brzo zveřejněna a všechna neaktualizovaná zařízení jsou tak v přímém ohrožení.

Seznam zařízení Zyxel, pro které už je dostupná záplata

Chyba CVE-2020-29583 se týká firewallů, VPN routerů a řídících jednotek AP. Zyxel už nabízí záplatu pro tato zařízení:

• USG
  • USG20-VPN
  • USG20W-VPN
  • USG40
  • USG40W
  • USG60
  • USG60W
  • USG110
  • USG210
  • USG310
  • USG1100
  • USG1900
  • USG2200
  • ZyWALL110
  • ZyWALL310
  • ZyWALL1100
• ATP
  • ATP100
  • ATP100W
  • ATP200
  • ATP500
  • ATP700
  • ATP800
• VPN
  • VNP50
  • VPN100
  • VPN300
  • VPN000
• USG FLEX
  • FLEX 100
  • FLEX 100W
  • FLEX 200
  • FLEX 500
  • FLEX 700

Nezáplatované AP controllery

Nezáplatované aktuálně jsou řídící jednotky AP NXC2500 a NXC5500 provozující firmware ve verzích V6.00 až V6.10. Záplata bude dostupná 8. ledna 2021. 

Aktualizace firmwaru

I když jsou dostupné záplaty v podobě aktualizace firmwaru jednotlivých zařízení, je nutno často aktualizovat manuálně. Administrace prvků sice automatickou aktualizaci nabízí, ale ta ve výchozím nastavení  není zapnuta. 

Proč vůbec firmware obsahuje stínový administrátorský účet?

Zyxel tvrdí, že jde o účet implementovaný kvůli poskytování automatických aktualizací přes FTP. Fakticky by tam měl být kvůli tomu, aby ony aktualizace mohli stahovat další uživatelé v síti podřazené danému síťovému prvku. Přítomnost takového účtu je pochybná. Odhalení přístupových údajů účtu v plaintextu je v podstatě neomluvitelným narušením zabezpečení dodávaného produktu.

Užitečné odkazy

• Aktualizovaný firmware pro USG/ATP/VPN/USG FLEX zařízení
• Dokumentace zranitelnosti CVE-2020-29583
• Dokumentace zranitelnosti na straně společnosti EYE

Zdroje

• EyeControl.nl
• Zyxel Community Biz Forum
• Zyxel.com
• Backdoor by monkik from the Noun Project

 

Daniel Beránek, 05.01.2021 16:46

 

 

 

	Mistral demokratizuje pokročilé funkce AI Francouzský vývojář AI Mistral AI přichází s multimodálním modelem Pixtral Large, aktualizuje vlajkový jazykový model Mistral Large na verzi 24.11 a ve zdarma přístupné betě nabízí pokročilé funkce, jako jsou Web Search, Canvas a...
	SearchGPT kombinuje důvěryhodnost, kontext a přístupnost OpenAI představilo SearchGPT, novou funkci v rámci ChatGPT, která kombinuje sílu umělé inteligence a schopnosti přímého vyhledávání na internetu. Jde o krok směrem k plně integrovaným systémům, které mohou na základě uživatelských...
	Claude 3.5 Sonnet a Haiku: nová kapitola ve vývoji LLM Neustálý vývoj jazykových modelů přináší nové možnosti, jakým způsobem umělá inteligence ovlivňuje nejen interakci mezi uživateli a počítači, ale práci s daty jako takovou. Společnost Anthropic nyní představuje 2  nové modely –...
	Spotify přidává videa Spotify stále rozšiřuje svou nabídku funkcí, aby uživatelům poskytlo co nejkomplexnější hudební zážitek. Nově se snaží zintenzivnit posluchačský zážitek přidáním videí, díky čemuž mohou uživatelé sledovat videoklipy...