SK-CERT Bezpečnostné varovanie V20210104-01

Dôležitosť Kritická
Klasifikácia Neutajované/TLP WHITE
CVSS Skóre
 9.8
Identifikátor
Zyxel firewally a AP controllery- kritická bezpečnostná zraniteľnosť
Popis
Bezpečnostní výskumníci zverejnili informácie o kritickej bezpečnostnej zraniteľnosti vo firewalloch a AP controlleroch od spoločnosti Zyxel.
Bezpečnostná zraniteľnosť spočíva v existencii zabudovaného administrátorského účtu s predvoleným heslom a umožňuje vzdialenému neautentifikovanému útočníkovi získať úplnú kontrolu nad zasiahnutým systémom s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému.
Dátum prvého zverejnenia varovania
09.12.2020 (posledná aktualizácia 02.01.2021)
CVE
CVE-2020-29583
IOC
Zasiahnuté systémy
Firewally:

  • séria ATP s firmwarom verzie ZLD V4.60 (ATP100, ATP100W, ATP200, ATP500, ATP700, ATP800)
  • séria USG s firmwarom verzie ZLD V4.60 (USG20-VPN, USG20W-VPN, USG40, USG40W, USG60, USG60W, USG110, USG210, USG310, USG1100, USG1900, USG2200, ZyWALL110, ZyWALL310, ZyWALL1100)
  • séria USG FLEX s firmwarom verzie ZLD V4.60 (FLEX 100, FLEX 100W, FLEX 200, FLEX 500, FLEX 700)
  • séria VPN s firmwarom verzie ZLD V4.60 (VNP50, VPN100, VPN300, VPN000)

AP controllery:

  • NXC2500
  • NXC5500
Následky
Úplné narušenie dôvernosti, integrity a dostupnosti systému
Odporúčania
Administrátorom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov. Ak bezodkladná aktualizácia nie je možná, odpojte zariadenia od siete až do okamihu ich aktualizácie. V súčasnosti sú dostupné len aktualizácie firmwaru pre firewally série ATP, USG, USG FLEX, a VPN.

Spoločnosť Zyxel plánuje vydanie bezpečnostných záplat pre AP controllery NXC na apríl 2021. Pre tieto zariadenia odporúčame:

  • vyčleniť prístup na administráciu na samostatné sieťové rozhranie, ktoré bude fyzicky odpojené od siete s výnimkou času, keď je zariadenie potrebné konfigurovať. Konfiguráciu odporúčame vykonávať s fyzickým prístupom k zariadeniu, nie cez verejnú ani privátnu sieť
  • Ak to nie je možné, zariadenia odporúčame vypnúť a nahradiť iným typom zariadenia

Pre všetky typy zariadení ďalej odporúčame hneď po aktualizácii alebo izolácii administračného rozhrania vykonať tieto ďalšie kroky:

  • Skontrolovať konfiguráciu zariadenia na prítomnosť nežiadúcich nastavení (nové či pozmenené firewallové pravidlá a NAT pravidlá, vypnutá pokročilá detekcia hrozieb a podobne)
  • Na zraniteľných zariadeniach skontrolovať prítomnosť podozrivých účtov
  • Preventívne zmeniť heslá do účtov na zraniteľných zariadeniach na dostatočne silné a jedinečné
  • Ak sa rovnaké heslá používali aj inde, zmeňte aj tieto heslá, pričom používajte unikátne heslá, pre každý účet iné
  • Monitorovať zariadenia so zameraním sa na neštandardné spojenia alebo pokusy o spojenie. Ak to konfigurácia umožňuje, preverte aj minulú komunikáciu a to ako voči Internetu, tak aj voči privátnej sieti
  • V .prípade zistenia kybernetického bezpečnostného incidentu, spôsobeného touto zraniteľnosťou, ho nahláste Národnému centru kybernetickej bezpečnosti SK-CERT na https://www.sk-cert.sk/sk/rady-a-navody/nahlasit-incident/index.html
Zdroje
https://www.zyxel.com/support/CVE-2020-29583.shtml
https://exchange.xforce.ibmcloud.com/vulnerabilities/193729
https://www.eyecontrol.nl/blog/undocumented-user-account-in-zyxel-products.html
https://www.zdnet.com/article/backdoor-account-discovered-in-more-than-100000-zyxel-firewalls-vpn-gateways/

« Späť na zoznam
Aktuálne hrozby
všetky oznámenia
Odkazy