Varovanie: Zadné dvierka v Zyxel produktoch
Národné centrum kybernetickej bezpečnosti SK-CERT varuje pred kritickou zraniteľnosťou vo firewalloch, VPN bránach a AP kontroleroch spoločnosti Zyxel, ktorá umožňuje vzdialenému útočníkovi úplný prístup do zraniteľných zariadení.
Zraniteľnosť sa týka viac ako 100 000 zariadení spoločnosti Zyxel. Zraniteľnosť, ktorá má označenie CVE-2020-29583 spočíva v tom, že v zariadeniach sa nachádza skryté, natvrdo naprogramované administrátorské konto s jednotným menom a heslom pre všetky zariadenia. Nezašifrované heslo výskumníci objavili v jednej z binárnych knižníc, prítomných v zariadení. Inkriminované meno a heslo sú už verejne dostupné vo viacerých zdrojoch na internete.
Zasiahnutými systémami sú:
- Zariadenia radu ATP (Advanced Threat Protection) – používané primárne ako firewall – vo verzii 4.60
- Zariadenia radu USG (Unified Security Gateway) – používané ako firewall a VPN brána – vo verzii 4.60
- Zariadenia radu USG FLEX – používané ako firewall a VPN brána – vo verzii 4.60
- Zariadenia radu VPN – používané ako VPN brána – vo verzii 4.60
- Zariadenia radu NXC – používané ako WLAN AP kontroler – vo verzii 6.10
Útočník pri úspešnom prieniku do týchto zariadení môže získať prístup aj na iné zariadenia, pričom takisto môže kompromitované zariadenia zneužiť ako vstupnú bránu pre iné útoky. Útočník môže napríklad meniť firewallové pravidlá, narúšať alebo odpočúvať prevádzku alebo vytvárať VPN kontá.
Národné centrum kybernetickej bezpečnosti SK-CERT preto odporúča:
- Bezodkladne vykonať aktualizáciu zariadení na najnovšiu verziu firmvéru 4.60 Patch1 na radách zariadení ATP, USG, USG FLEX a VPN. Ak bezodkladná aktualizácia nie je možná, odpojte zariadenia od siete až do okamihu ich aktualizácie
Aktualizácia zariadení radu NXC bude dostupná až v apríli 2021. Pre tieto zariadenia preto odporúčame:
- vyčleniť prístup na administráciu na samostatné sieťové rozhranie, ktoré bude fyzicky odpojené od siete s výnimkou času, keď je zariadenie potrebné konfigurovať. Konfiguráciu odporúčame vykonávať s fyzickým prístupom k zariadeniu, nie cez verejnú ani privátnu sieť
- Ak to nie je možné, zariadenia odporúčame vypnúť a nahradiť iným typom zariadenia
Pre všetky typy zariadení ďalej odporúčame hneď po aktualizácii alebo izolácii administračného rozhrania vykonať tieto ďalšie kroky:
- Skontrolovať konfiguráciu zariadenia na prítomnosť nežiadúcich nastavení (nové či pozmenené firewallové pravidlá a NAT pravidlá, vypnutá pokročilá detekcia hrozieb a podobne)
- Na zraniteľných zariadeniach skontrolovať prítomnosť podozrivých účtov
- Preventívne zmeniť heslá do účtov na zraniteľných zariadeniach na dostatočne silné a jedinečné
- Ak sa rovnaké heslá používali aj inde, zmeňte aj tieto heslá, pričom používajte unikátne heslá, pre každý účet iné
- Monitorovať zariadenia so zameraním sa na neštandardné spojenia alebo pokusy o spojenie. Ak to konfigurácia umožňuje, preverte aj minulú komunikáciu a to ako voči Internetu, tak aj voči privátnej sieti
- V prípade zistenia kybernetického bezpečnostného incidentu, spôsobeného touto zraniteľnosťou, ho nahláste Národnému centru kybernetickej bezpečnosti SK-CERT na https://www.sk-cert.sk/sk/rady-a-navody/nahlasit-incident/index.html
- Nakoľko táto zraniteľnosť nebola jediným prípadom zadných vrátok v produktoch spoločnosti Zyxel[1], neodporúčame používať produkty spoločnosti Zyxel v kritickej časti vašej infraštruktúry.
Zdroje
https://www.zyxel.com/support/CVE-2020-29583.shtml
https://www.eyecontrol.nl/blog/undocumented-user-account-in-zyxel-products.html
[1] https://nvd.nist.gov/vuln/detail/CVE-2016-10401
« Späť na zoznam
